| 1.1, X86 (ok), 10:01, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 > Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах
Понаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?
| | |
| |
| 2.4, Аноним (-), 10:12, 10/10/2024 [^] [^^] [^^^] [ответить]
| +8 +/– | |
> Понаделают дверей
Ну разумеется, анимации не нужны. Так же может быть дыра.
И картинки не нужны. В декодере тоже может быть дыра.
И стили тоже не нужны. Потому что там... ну ты понял.
Нужно просто отображать plain text. Вот его хватит всем.
*главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет
> потом дыры в них латают
Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free.
Неужели их использование важнее безопасности?
| | |
| |
| 3.6, Советский инженер (ok), 10:23, 10/10/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
 >Нужно просто отображать plain text.
шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень
| | |
| |
| 4.11, alexfarman (?), 10:43, 10/10/2024 [^] [^^] [^^^] [ответить]
| +5 +/– |
И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал
| | |
| 4.13, Аноним (-), 10:44, 10/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Именно!
При этом сам шрифт должен быть записан в ПЗУ терминала.
А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.
| | |
| |
| 5.89, Асен Тотин (?), 13:44, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.
| | |
|
|
|
|
| 1.17, Аноним (17), 10:47, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– | |
> Например, пропадают тени и закругления всплывающих меню
А минусы будут?
| | |
| |
| 2.45, Аноним (45), 14:22, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.
| | |
| |
| |
| 4.65, Аноним (65), 22:11, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.
| | |
|
| 3.86, Аноним (86), 12:54, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.
| | |
| |
| 4.88, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение.
Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны.
> Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле
Ну так перепиши.
Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.
| | |
|
|
|
| 1.34, мяв (?), 12:13, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >приводящая к выполнению кода на уровне процесса обработки контент
как прекрасно, что у меня все еще tomoyo на всех машинах!
ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.
| | |
| |
| |
| 3.71, мяв (?), 06:08, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
да не, это в зависимости от того, кто писао политику.
процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.
| | |
| |
| 4.80, Аноним (79), 09:53, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> в зависимости от того, кто писао политику.
Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик.
Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии.
# pscap
отображает всюду урезанные привилегии без возможности повышения.
А всякие сильные баги в прогах ловит hardened ядро от grsecurity.
| | |
| |
| 5.82, мяв (?), 10:48, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Это очень дорогая, трудоёмкая задача.
что? нет, если вы себя любите и используете то, что было сделано для людей.
это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками.
>RBAC
он мертв.
>В продакшн не пошло
у меня все пошло, Вы просто не умеете правильно готовить.
| | |
|
|
| 3.72, мяв (?), 06:13, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
+ не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).
| | |
|
| 2.40, Ivan_83 (ok), 13:19, 10/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Неуловимый Джо :)
Чтобы реально на что то такое попасть нужно стечение обстоятельств.
1. нужно чтобы под твою систему был эксплоит: походу оно будет отличатся не только между ОС но и в зависимости от опций сборки и наличия ASLR, а Тэо из опенбсд поди ржёт в голос над этим со своим w^x, которые другие тоже себе растащили.
2. нужно чтобы под твою систему был код который некто собрался запускать
3. нужно чтобы ты зашёл на сайт где оно есть
4. нужно чтобы у тебя не было чего то типа umatrix который порежет такое непотребство с высокой вероятностью
Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
И насколько я помню из прошлого общения томоя фильтрует доступ по путям, что конечно снизит ущерб и риски но делать что то неприятное можно и не шарясь по ФС: утащить пароли или поменять адрес кошелька при переводе крипты на какойнить бирже/обменнике.
| | |
| |
| 3.46, OpenEcho (?), 14:38, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
capsicum на Линуксе кажется еще лет 5 назад помер
| | |
| |
| 4.52, Аноним (-), 14:54, 10/10/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> capsicum на Линуксе кажется еще лет 5 назад помер
Что такое 5 лет для вечного core2duo ?
Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.
| | |
| |
| 5.56, Афроним (?), 15:22, 10/10/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D
| | |
|
| 4.61, Ivan_83 (ok), 19:42, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
Даже в венде такое есть, начиная с 2к как минимум.
| | |
| |
| 5.70, OpenEcho (?), 02:36, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> У меня фря
Я знаю, не первый день здесь :)
> что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
У нас и то и другое и третье... весь зоопарк ОСей. А в линолиуме там setcap наверное самый подручный, но без Каспера, a вместо перчика - SElinux которыму следовало бы поучится простоте capsicum, попроще наверное AppArmor, ну или если совсем не замaрачиваться то та же японская дева Томоё
| | |
| |
| 6.73, мяв (?), 06:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>AppArmor
который ничерта не умеет, отключается на раз-два в рантайме, не предназначен для написания больших политик в принципе, да еще и работает в полную силу только на ядрах каноникла?
спасибо, наелись.
>дева Томоё
..который, в отличии от, умеет в контроль кратно большего кол.-ва операций с фс, сетью и даже может ядро зажать; имеет гибкую политику исключений с автоматическим режимом обучения, благодаря которым, политика даже для всей системы - очень даже реальна.
| | |
| |
| 7.83, OpenEcho (?), 12:10, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Со всеми этими MAC, слишком много головной боли. Я понимаю там каждый день только этим и заниматься, то еще куда не шло, поэтому и появилсь все эти докеры и кибернетсы, проще разогнать задачи по песочницам простым девопсам, чем держать гика ковыряющегося в МАС-ах
| | |
| |
| 8.90, мяв (?), 15:16, 11/10/2024 [^] [^^] [^^^] [ответить] | +/– | да не особо я на десктопе 3й год пользую tomoyo в дебиане сильная головная бо... текст свёрнут, показать | | |
|
|
| 6.75, мяв (?), 06:27, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>SELinux
есть более простой, но чуть менее поддерживаемый SMACK.
тоже на метках.
| | |
| |
| 7.84, OpenEcho (?), 12:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>SELinux
> есть более простой, но чуть менее поддерживаемый SMACK.
> тоже на метках.
В интерпрайзах тяжело пропихнуть, а на "резидентшиал" уровне тоже слишком много времени на это все тратить. Проще то же Хвост или скорее МХ в frugal mode, все на read-only за исключением данных
| | |
|
|
|
|
| 3.74, мяв (?), 06:23, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
запустите-ка мне ядро или саму песочницу в песочнице?
| | |
| |
| 4.76, Ivan_83 (ok), 07:24, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
А зачем?
Можно поизвращатся с jail и таки запустить ядро в "песочнице", но чего ради?
| | |
| |
| 5.77, мяв (?), 08:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
а затем, что спасает от любой уязвимости с СЕ де-факто.
сам jail тоже в песочнице будет?
а с МАС'ом - в "песочнице" будет все живое.
| | |
| |
| 6.93, Ivan_83 (ok), 18:01, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Зачем от неё спасатся?)
Вы на создание и саппорт этого всего потратите больше чем я на воосстановление если оно потребуется вообще когданить, пока за 16 лет юза фри оно было не надо.
Я думаю что у вас перенос реальных фобий на ИБ, как у большинства тех кто не админит всякие сервисы с денежными транзакциями.
Попробуйте сменить локацию и купить ствол, должно попустить :)
| | |
|
|
|
|
|
| |
| |
| |
| 4.85, OpenEcho (?), 12:20, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
> только что 131 прилетела.
> fennec все еще 129.
Пасиб, а то я только в ручную обновляю (параноя однако...)
| | |
|
|
| 2.51, Аноним (-), 14:50, 10/10/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Fennec больше не может быть собран в соответствии с правилами F-Droid из-за смены тулчейна в апстриме,
Это больше вопрос к правилам ф-дроида и их адекватности.
> и в репозитории остается уязвимая 129 версия
Могли бы бекпортить фиксы.. а не, не могли.
Они же просто пересобирают лису, а не пишут новый код.
Ну штош, если такова цена щво6одки, то посмотрим сколько людей захотят за нее заплатить
| | |
| |
| 3.62, Ivan_83 (ok), 19:44, 10/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так и чо?
Я выше написал, для андройда будет 3 условия, но там и ограничения со стороны ОС сразу более жёсткие и по файлам особо не пошаришься, если только эксплоит сразу для рута запускать.
| | |
|
| 2.69, Аноним (69), 01:46, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
Я ничего не понял. Firefox зависит от проприетарного тулчейна? Если да, то это не полностью опенсорсный браузер.
| | |
|
| 1.67, Анониссимус (?), 00:00, 11/10/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Если не все анонимы поняли, то поясняю: с этой уязвимостью вы можете открыть сайтик, который сможет скриншотить, кейлогать, и вообще лазить по всему хомяку.
И от этого всего можно спастись только отказом от X11 и применением Selinux, AppArmor и подобных средств.
| | |
| |
| 2.68, Аноним (65), 00:17, 11/10/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
У x11 уже не осталось пользователей, зачем от него отказываться? Никто не будет таргетить полпроцента 1%.
| | |
| 2.81, Аноним (81), 09:58, 11/10/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере. Ну просто потому что
>вообще лазить по всему хомяку.
X11 не предоставляет, а вот браузер, сделанный из-под палки всяких там шаманок под спринтами на KPI по методике "release early, release often" - как раз да.
| | |
| |
| 3.87, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> отказаться от раздувания фич в браузере
Если для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx, ФФ не для вас.
> X11 не предоставляет
Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
| | |
| |
| 4.91, Местный с житейским делом (?), 15:31, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейланде.
| | |
|
|
| 2.94, Аноним (94), 19:36, 11/10/2024 [^] [^^] [^^^] [ответить]
| +/– |
зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20 лет назад, это можно делать и сегодня. без всяких там ваших извращений...
| | |
|
|
