From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-3.6 required=5.0 tests=BAYES_00,RCVD_IN_DNSWL_LOW, SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=date:from:to:subject:message-id:mail-followup-to:references :mime-version:content-type:content-disposition :content-transfer-encoding:in-reply-to; bh=7V+46ALteCwyGUKCP3etrWClr/tTjQ6xdc8sI98wpSY=; b=n4dNfYvzW6GGR33cwc2pcqLgED7lbzxPjbVtGyX9+mBYId6xgUfuoQEHGTAEIv4tr2 yae/ScD9nUeMbY1Y2LZBricDZjKNRMBphbP7hnnUBWU4B8jmqI/Zh9OM5WS/XnwpU48D 6RXUAcdxxYrqrg/PrYGvl3b49f3yEdbMiT0bXuINiBxYU61Sk6oUEcJbC3DE00Uas17J 2EnvyaMePtapkSnTcwXe4busROFl7mw9MnwWqBvfI+FzuLhxVPyQwzKlfAdGhiWsT4B5 vRRNxmgWcPBcDYNfMX5GoVGjR+aPGC61okyiSWryX2C5e39fiLSTZUa0e/Qd8FU9hEDp SWvA== Date: Thu, 30 Aug 2012 19:17:04 +0400 From: Dmitry Chistikov To: ALT Linux Community general discussions Message-ID: <20120830151704.GB7449@conflux.foliandre> Mail-Followup-To: ALT Linux Community general discussions References: <20120829144315.GI13963@conflux.foliandre> <3789813.elSHLEPuJ5@summoner.localdomain> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <3789813.elSHLEPuJ5@summoner.localdomain> Subject: Re: [Comm] =?koi8-r?b?8M/TzMUgz8LOz9fMxc7J0SDQ0s/QwczJIMnLz87LySDO?= =?koi8-r?b?wSDSwcLP3sXNINPUz8zF?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 30 Aug 2012 15:17:12 -0000 Archived-At: List-Archive: List-Post: Sergey V Turchin, Aug. 30, 2012, 16:09 +0400: > On 29 августа 2012 18:43:15 Dmitry Chistikov wrote: > > Sergey V Turchin, Aug. 29, 2012, 16:42 +0400: > > > Из этого примера следует, что с файловых систем, доступных пользователю > > > на запись, запуск desktop-файлов без проверки производитсья не должен. > > > > Честно говоря, в этом пример меня как раз не убедил (возможно, мое > > внимание зацепилось не за то). > > > > Собственно говоря, почему не должен? > По ссылке написано. Специально перечитал еще один раз - но все равно не вижу. Потенциально угрожающего насчитал три штуки: * в будущих OSS desktops, возможно (и кое-кто на это надеется), появятся application bundles; * данная штука "уже работает" и требует только download + double-click; * возможно, такие примеры вдохновят авторов freedesktop.org на новые стандарты. К настоящему относится только второе, но тут см. ниже про "Приложение". Будьте добры, ткните пальцем, коли пропустил, или растолкуйте. > > Если такой проверкой мы хотим уберечь > > пользователя от запуска всякой дряни > > , то будут ведь и права менять. > Если у них есть права для этого. Если есть право записи куда-нибудь внутрь /tmp/, то с этим проблем нет. Если права записи нет вообще никуда, то это уже интереснее =) > > Другими словами, класс угроз, от которых мы защищаемся, выглядит слишком > > уж узким: раз уж впаяли в desktop-файл сценарий на perl и подсунули > > результат пользователю, то и подтолкнуть его поставить +x смогут. > Проще пароль root сразу спросить ;-) Ну почему же? "Чтобы установить наше Приложение, скачайте файл (ссылка) и добавьте права на выполнение через графический интерфейс в используемой вами среде рабочего стола либо с помощью команды chmod +x superapp.desktop, после чего щелкните по иконке файла для запуска". Это еще не реальность? > > Вот лежит где-то /path/f1.desktop > С чего бы он там лежит? > > > с правами 755. > С чего бы? Потому, что скопировали один из опакеченных? Это нормально. Бр-р-р, ну если KDE и GNOME требуют +x, то где-то он есть, верно? Где именно - совершенно не принципиально. > > Сижу я в терминале и говорю: > > > > $ /path/f1.desktop > В $PATH добавьте этот каталог -- будет удобнее ;-) =) Да, это выглядит как сознательная попытка выстрелить себе в ногу. Но, например, если я говорю "find $HOME -type f -perm -u+x", то ожидаю, что find пройдется по настоящим исполняемым файлам. И что - "разбить вдребезги"? Неужели это "желание странного", да еще неоправданное? > > И что получится? Да ничего хорошего, > И ничего плохого. К сожалению, не могу согласиться. Вообразим, например, доброжелательного сопровождающего, который по неряшливости написал в desktop-файле буквально следующее: GenericName=Graphical rm replacement Нехорошо получится. (Ну или не GenericName, а, скажем, Comment.) Ну и так далее. Конечно, это все можно объявить бессмысленным теоретизированием, но я к чему: использование unix permissions для семантики, не связанной с правами доступа как таковыми, мне кажется шагом глубоко неправильным. Давно ли было принято такое решение? -- Дмитрий Чистиков