From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dd1email@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-3.6 required=5.0 tests=BAYES_00,RCVD_IN_DNSWL_LOW,
	SPF_PASS autolearn=ham version=3.2.5
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113;
	h=date:from:to:subject:message-id:mail-followup-to:references
	:mime-version:content-type:content-disposition
	:content-transfer-encoding:in-reply-to;
	bh=7V+46ALteCwyGUKCP3etrWClr/tTjQ6xdc8sI98wpSY=;
	b=n4dNfYvzW6GGR33cwc2pcqLgED7lbzxPjbVtGyX9+mBYId6xgUfuoQEHGTAEIv4tr2
	yae/ScD9nUeMbY1Y2LZBricDZjKNRMBphbP7hnnUBWU4B8jmqI/Zh9OM5WS/XnwpU48D
	6RXUAcdxxYrqrg/PrYGvl3b49f3yEdbMiT0bXuINiBxYU61Sk6oUEcJbC3DE00Uas17J
	2EnvyaMePtapkSnTcwXe4busROFl7mw9MnwWqBvfI+FzuLhxVPyQwzKlfAdGhiWsT4B5
	vRRNxmgWcPBcDYNfMX5GoVGjR+aPGC61okyiSWryX2C5e39fiLSTZUa0e/Qd8FU9hEDp
	SWvA==
Date: Thu, 30 Aug 2012 19:17:04 +0400
From: Dmitry Chistikov <dd1email@gmail.com>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Message-ID: <20120830151704.GB7449@conflux.foliandre>
Mail-Followup-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
References: <20120829144315.GI13963@conflux.foliandre>
	<3789813.elSHLEPuJ5@summoner.localdomain>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <3789813.elSHLEPuJ5@summoner.localdomain>
Subject: Re: [Comm] =?koi8-r?b?8M/TzMUgz8LOz9fMxc7J0SDQ0s/QwczJIMnLz87LySDO?=
 =?koi8-r?b?wSDSwcLP3sXNINPUz8zF?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 30 Aug 2012 15:17:12 -0000
Archived-At: <http://lore.altlinux.org/community/20120830151704.GB7449@conflux.foliandre/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Sergey V Turchin, Aug. 30, 2012, 16:09 +0400:
> On 29 августа 2012 18:43:15 Dmitry Chistikov wrote:
> > Sergey V Turchin, Aug. 29, 2012, 16:42 +0400:
> > > Из этого примера следует, что с файловых систем, доступных пользователю
> > > на запись, запуск desktop-файлов без проверки производитсья не должен.
> > 
> > Честно говоря, в этом пример меня как раз не убедил (возможно, мое
> > внимание зацепилось не за то).
> > 
> > Собственно говоря, почему не должен? 
> По ссылке написано.

Специально перечитал еще один раз - но все равно не вижу.
Потенциально угрожающего насчитал три штуки:

* в будущих OSS desktops, возможно (и кое-кто на это надеется), появятся
  application bundles;
* данная штука "уже работает" и требует только download + double-click;
* возможно, такие примеры вдохновят авторов freedesktop.org на новые
  стандарты.

К настоящему относится только второе, но тут см. ниже про "Приложение".
Будьте добры, ткните пальцем, коли пропустил, или растолкуйте.

> > Если такой проверкой мы хотим уберечь
> > пользователя от запуска всякой дряни
> > , то будут ведь и права менять.
> Если у них есть права для этого.

Если есть право записи куда-нибудь внутрь /tmp/, то с этим проблем нет.
Если права записи нет вообще никуда, то это уже интереснее =)

> > Другими словами, класс угроз, от которых мы защищаемся, выглядит слишком
> > уж узким: раз уж впаяли в desktop-файл сценарий на perl и подсунули
> > результат пользователю, то и подтолкнуть его поставить +x смогут.
> Проще пароль root сразу спросить ;-)

Ну почему же? "Чтобы установить наше Приложение, скачайте файл (ссылка)
и добавьте права на выполнение через графический интерфейс в используемой
вами среде рабочего стола либо с помощью команды chmod +x superapp.desktop,
после чего щелкните по иконке файла для запуска".

Это еще не реальность?

> > Вот лежит где-то /path/f1.desktop
> С чего бы он там лежит?
> 
> > с правами 755.
> С чего бы? Потому, что скопировали один из опакеченных? Это нормально.

Бр-р-р, ну если KDE и GNOME требуют +x, то где-то он есть, верно?
Где именно - совершенно не принципиально.

> > Сижу я в терминале и говорю:
> > 
> > $ /path/f1.desktop
> В $PATH добавьте этот каталог -- будет удобнее ;-)

=) Да, это выглядит как сознательная попытка выстрелить себе в ногу.
Но, например, если я говорю "find $HOME -type f -perm -u+x", то ожидаю,
что find пройдется по настоящим исполняемым файлам. И что - "разбить
вдребезги"? Неужели это "желание странного", да еще неоправданное?

> > И что получится? Да ничего хорошего,
> И ничего плохого.

К сожалению, не могу согласиться. Вообразим, например, доброжелательного
сопровождающего, который по неряшливости написал в desktop-файле буквально
следующее:

GenericName=Graphical rm replacement

Нехорошо получится. (Ну или не GenericName, а, скажем, Comment.)
Ну и так далее. Конечно, это все можно объявить бессмысленным
теоретизированием, но я к чему: использование unix permissions
для семантики, не связанной с правами доступа как таковыми, мне
кажется шагом глубоко неправильным. Давно ли было принято такое
решение?

-- 
Дмитрий Чистиков