1.1, X86 (ok), 10:01, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах
Понаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?
| |
|
2.4, Аноним (-), 10:12, 10/10/2024 [^] [^^] [^^^] [ответить]
| +10 +/– |
> Понаделают дверей
Ну разумеется, анимации не нужны. Так же может быть дыра.
И картинки не нужны. В декодере тоже может быть дыра.
И стили тоже не нужны. Потому что там... ну ты понял.
Нужно просто отображать plain text. Вот его хватит всем.
*главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет
> потом дыры в них латают
Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free.
Неужели их использование важнее безопасности?
| |
|
3.6, Советский инженер (ok), 10:23, 10/10/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
>Нужно просто отображать plain text.
шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень
| |
|
4.11, alexfarman (?), 10:43, 10/10/2024 [^] [^^] [^^^] [ответить]
| +5 +/– |
И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал
| |
4.13, Аноним (-), 10:44, 10/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Именно!
При этом сам шрифт должен быть записан в ПЗУ терминала.
А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.
| |
|
5.89, Асен Тотин (?), 13:44, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.
| |
|
|
|
|
1.17, Аноним (17), 10:47, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
> Например, пропадают тени и закругления всплывающих меню
А минусы будут?
| |
|
2.45, Аноним (45), 14:22, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.
| |
|
|
4.65, Аноним (65), 22:11, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.
| |
|
3.86, Аноним (86), 12:54, 11/10/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.
| |
|
4.88, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение.
Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны.
> Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле
Ну так перепиши.
Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.
| |
|
|
|
1.34, мяв (?), 12:13, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>приводящая к выполнению кода на уровне процесса обработки контент
как прекрасно, что у меня все еще tomoyo на всех машинах!
ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.
| |
|
|
3.71, мяв (?), 06:08, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
да не, это в зависимости от того, кто писао политику.
процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.
| |
|
4.80, Аноним (79), 09:53, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> в зависимости от того, кто писао политику.
Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик.
Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии.
# pscap
отображает всюду урезанные привилегии без возможности повышения.
А всякие сильные баги в прогах ловит hardened ядро от grsecurity.
| |
|
5.82, мяв (?), 10:48, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
>Это очень дорогая, трудоёмкая задача.
что? нет, если вы себя любите и используете то, что было сделано для людей.
это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками.
>RBAC
он мертв.
>В продакшн не пошло
у меня все пошло, Вы просто не умеете правильно готовить.
| |
|
|
3.72, мяв (?), 06:13, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
+ не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).
| |
|
2.40, Ivan_83 (ok), 13:19, 10/10/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Неуловимый Джо Чтобы реально на что то такое попасть нужно стечение обстоятел... большой текст свёрнут, показать | |
|
3.46, OpenEcho (?), 14:38, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
capsicum на Линуксе кажется еще лет 5 назад помер
| |
|
4.52, Аноним (-), 14:54, 10/10/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> capsicum на Линуксе кажется еще лет 5 назад помер
Что такое 5 лет для вечного core2duo ?
Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.
| |
|
5.56, Афроним (?), 15:22, 10/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D
| |
|
4.61, Ivan_83 (ok), 19:42, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
Даже в венде такое есть, начиная с 2к как минимум.
| |
|
5.70, OpenEcho (?), 02:36, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> У меня фря
Я знаю, не первый день здесь :)
> что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
У нас и то и другое и третье... весь зоопарк ОСей. А в линолиуме там setcap наверное самый подручный, но без Каспера, a вместо перчика - SElinux которыму следовало бы поучится простоте capsicum, попроще наверное AppArmor, ну или если совсем не замaрачиваться то та же японская дева Томоё
| |
|
6.73, мяв (?), 06:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
>AppArmor
который ничерта не умеет, отключается на раз-два в рантайме, не предназначен для написания больших политик в принципе, да еще и работает в полную силу только на ядрах каноникла?
спасибо, наелись.
>дева Томоё
..который, в отличии от, умеет в контроль кратно большего кол.-ва операций с фс, сетью и даже может ядро зажать; имеет гибкую политику исключений с автоматическим режимом обучения, благодаря которым, политика даже для всей системы - очень даже реальна.
| |
|
7.83, OpenEcho (?), 12:10, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Со всеми этими MAC, слишком много головной боли. Я понимаю там каждый день только этим и заниматься, то еще куда не шло, поэтому и появилсь все эти докеры и кибернетсы, проще разогнать задачи по песочницам простым девопсам, чем держать гика ковыряющегося в МАС-ах
| |
|
8.90, мяв (?), 15:16, 11/10/2024 [^] [^^] [^^^] [ответить] | +/– | да не особо я на десктопе 3й год пользую tomoyo в дебиане сильная головная бо... большой текст свёрнут, показать | |
|
|
10.99, мяв (?), 05:08, 14/10/2024 [^] [^^] [^^^] [ответить] | +/– | смотря, какие обновления если б я писала политики под дебиан с sysv, а потом бы... текст свёрнут, показать | |
|
11.100, мяв (?), 05:09, 14/10/2024 [^] [^^] [^^^] [ответить] | +/– | в целом, мне что-то подсказывает, что достаточно придумать, как запускать инит и... текст свёрнут, показать | |
|
|
|
|
|
6.75, мяв (?), 06:27, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
>SELinux
есть более простой, но чуть менее поддерживаемый SMACK.
тоже на метках.
| |
|
7.84, OpenEcho (?), 12:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>SELinux
> есть более простой, но чуть менее поддерживаемый SMACK.
> тоже на метках.
В интерпрайзах тяжело пропихнуть, а на "резидентшиал" уровне тоже слишком много времени на это все тратить. Проще то же Хвост или скорее МХ в frugal mode, все на read-only за исключением данных
| |
|
|
|
|
3.74, мяв (?), 06:23, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
запустите-ка мне ядро или саму песочницу в песочнице?
| |
|
4.76, Ivan_83 (ok), 07:24, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
А зачем?
Можно поизвращатся с jail и таки запустить ядро в "песочнице", но чего ради?
| |
|
5.77, мяв (?), 08:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
а затем, что спасает от любой уязвимости с СЕ де-факто.
сам jail тоже в песочнице будет?
а с МАС'ом - в "песочнице" будет все живое.
| |
|
6.93, Ivan_83 (ok), 18:01, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Зачем от неё спасатся?)
Вы на создание и саппорт этого всего потратите больше чем я на воосстановление если оно потребуется вообще когданить, пока за 16 лет юза фри оно было не надо.
Я думаю что у вас перенос реальных фобий на ИБ, как у большинства тех кто не админит всякие сервисы с денежными транзакциями.
Попробуйте сменить локацию и купить ствол, должно попустить :)
| |
|
|
|
|
|
|
|
|
4.85, OpenEcho (?), 12:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> только что 131 прилетела.
> fennec все еще 129.
Пасиб, а то я только в ручную обновляю (параноя однако...)
| |
|
|
2.51, Аноним (-), 14:50, 10/10/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Fennec больше не может быть собран в соответствии с правилами F-Droid из-за смены тулчейна в апстриме,
Это больше вопрос к правилам ф-дроида и их адекватности.
> и в репозитории остается уязвимая 129 версия
Могли бы бекпортить фиксы.. а не, не могли.
Они же просто пересобирают лису, а не пишут новый код.
Ну штош, если такова цена щво6одки, то посмотрим сколько людей захотят за нее заплатить
| |
|
3.62, Ivan_83 (ok), 19:44, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так и чо?
Я выше написал, для андройда будет 3 условия, но там и ограничения со стороны ОС сразу более жёсткие и по файлам особо не пошаришься, если только эксплоит сразу для рута запускать.
| |
|
2.69, Аноним (69), 01:46, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Я ничего не понял. Firefox зависит от проприетарного тулчейна? Если да, то это не полностью опенсорсный браузер.
| |
|
1.67, Анониссимус (?), 00:00, 11/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если не все анонимы поняли, то поясняю: с этой уязвимостью вы можете открыть сайтик, который сможет скриншотить, кейлогать, и вообще лазить по всему хомяку.
И от этого всего можно спастись только отказом от X11 и применением Selinux, AppArmor и подобных средств.
| |
|
2.68, Аноним (65), 00:17, 11/10/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
У x11 уже не осталось пользователей, зачем от него отказываться? Никто не будет таргетить полпроцента 1%.
| |
2.81, Аноним (81), 09:58, 11/10/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере. Ну просто потому что
>вообще лазить по всему хомяку.
X11 не предоставляет, а вот браузер, сделанный из-под палки всяких там шаманок под спринтами на KPI по методике "release early, release often" - как раз да.
| |
|
3.87, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> отказаться от раздувания фич в браузере
Если для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx, ФФ не для вас.
> X11 не предоставляет
Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
| |
|
4.91, Местный с житейским делом (?), 15:31, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейланде.
| |
|
|
2.94, Аноним (94), 19:36, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20 лет назад, это можно делать и сегодня. без всяких там ваших извращений...
| |
|
3.98, Анониссимус (?), 13:13, 12/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным
> пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20
> лет назад, это можно делать и сегодня. без всяких там ваших
> извращений...
Это по сути отказ от многооконного интерфейса. То есть того, ради чего и создан был X.
| |
|
|
|