[devel] zed is alive, baby, for now

[devel] zed is alive, baby, for now

[Sergey Bolshakov]

Привет.
В процессе обсуждения тут:
https://bugzilla.altlinux.org/54860
я, к своему удивлению, не обнаружил policy, регламентирующего обращение
с пакетами, возможности которых в значительной степени зависят от сторонних
компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
Мы правда не имеем на этот счёт никакого записанного буквами мнения ?

-- 

Re: [devel] zed is alive, baby, for now

[Sergey]

В письме от пятница, 20 июня 2025 г. 15:31 пользователь Sergey Bolshakov 
написал:

[...]
> https://bugzilla.altlinux.org/54860

[...]
> не обнаружил policy, регламентирующего обращение
> с пакетами, возможности которых в значительной степени зависят от сторонних
> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
Да, тут клондайк, похоже.
winehelper, epm play, portproton, winetricks, waydroid и т.д.

[...]

-- 
Regards, Sergey

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/20/25 15:31, Sergey Bolshakov wrote:
> Привет.
> В процессе обсуждения тут:
> https://bugzilla.altlinux.org/54860
> я, к своему удивлению, не обнаружил policy, регламентирующего обращение
> с пакетами, возможности которых в значительной степени зависят от сторонних
> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
> Мы правда не имеем на этот счёт никакого записанного буквами мнения ?
>
А что бы ты записал в такое полиси ?

Re: [devel] zed is alive, baby, for now

[Sergey Bolshakov]

>>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes:

 > On 6/20/25 15:31, Sergey Bolshakov wrote:
 >> Привет.
 >> В процессе обсуждения тут:
 >> https://bugzilla.altlinux.org/54860
 >> я, к своему удивлению, не обнаружил policy, регламентирующего обращение
 >> с пакетами, возможности которых в значительной степени зависят от сторонних
 >> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
 >> Мы правда не имеем на этот счёт никакого записанного буквами мнения ?
 >>
 > А что бы ты записал в такое полиси ?

Прежде всего, я неприятно удивлён самой необходимости формализовать
до состояния policy, казалось бы, общепринятых подписчиками devel@ идей.
Время летит.

Что-то вроде черновика я предложить не готов, поскольку, похоже,
пришлось бы начинать с (до)определения понятия 'пакет'.
Но у меня есть хитрый план: предложить сопровождающим таких пакетов
сформулировать (добровольно!) ограничения, которые им покажутся
уместными и посильными (пока их не запретили скопом, хаха).
Как сопровождающий одного из таких пакетов (kodi), начну:

(*торонняя компонента* TBD)
Допускается такое использование *сторонней компоненты* пакета,
что: проиходит по инициативе пользователя, явно и обратимо.

Это minimum minimorum, невыполнение которого квалифицируется
как critical bug с известными последствиями (какими ? тут,
похоже, тоже пробел).

-- 

Re: [devel] zed is alive, baby, for now

[Alexandr Shashkin]

[-- Attachment #1.1.1: Type: text/plain, Size: 748 bytes --]

Еще один прекрасный пример - это hplip, который загружает проприетарный 
плагин для себя.

On 20/06/2025 16:51, Sergey wrote:
>> не обнаружил policy, регламентирующего обращение
>> с пакетами, возможности которых в значительной степени зависят от сторонних
>> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
> Да, тут клондайк, похоже.
> winehelper, epm play, portproton, winetricks, waydroid и т.д.

-- 
Best regards,
Alexandr Shashkin
Alt Linux Team



[-- Attachment #1.1.2: OpenPGP public key --]
[-- Type: application/pgp-keys, Size: 5487 bytes --]

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] zed is alive, baby, for now

[Andrey Limachko]

Не понимаю, что такого в том, что приложение загружает бинарники из сети? Так
много кто делает, тут уже упомянули об этом. Использование docker'а, к примеру,
под эти цели и заточено.

Другое дело, если приложение делает это самостоятельно, без запроса или, на
худой конец, предупреждения. Тут я полностью согласен - такое поведение не
допустимо.

На самом деле, стоит подумать не только о загрузке бинарников, но и о любом
обращении в сеть в целом.

Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет
погоды Gnome ни кого ни о чём не спрашивает.

20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>:
> Еще один прекрасный пример - это hplip, который загружает проприетарный плагин для себя.
> 
> On 20/06/2025 16:51, Sergey wrote:
>>> не обнаружил policy, регламентирующего обращение
>>> с пакетами, возможности которых в значительной степени зависят от сторонних
>>> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
>> Да, тут клондайк, похоже.
>> winehelper, epm play, portproton, winetricks, waydroid и т.д.
> 
> -- 
> Best regards,
> Alexandr Shashkin
> Alt Linux Team
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 
Andrey Limachko (liannnix)
Telegram: @liannnix
Mobile: +7 937 240-47-35

Re: [devel] zed is alive, baby, for now

[Semen Fomchenkov]

20.06.2025 19:56, Andrey Limachko пишет:
> Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет
> погоды Gnome ни кого ни о чём не спрашивает.
О каком виджете погоды GNOME вы говорите? То что в центре уведомлений, 
использует приложение погоды GNOME, то что можно добавить расширением 
тоже использует погоду GNOME. Да и странно бы было получать погоду не из 
интернета, так что ограничения любой работы с сетью выглядит достаточно 
странно, если это нужно пользователю, то пусть настраивает firewall.
>
> 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>:
>> Еще один прекрасный пример - это hplip, который загружает проприетарный плагин для себя.
>>
>> On 20/06/2025 16:51, Sergey wrote:
>>>> не обнаружил policy, регламентирующего обращение
>>>> с пакетами, возможности которых в значительной степени зависят от сторонних
>>>> компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
>>> Да, тут клондайк, похоже.
>>> winehelper, epm play, portproton, winetricks, waydroid и т.д.
>> -- 
>> Best regards,
>> Alexandr Shashkin
>> Alt Linux Team
>> _______________________________________________
>> Devel mailing list
>> Devel@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/devel

-- 
best regards,
Semen Fomchenkov
<armatik@altlinux.org>

Re: [devel] zed is alive, baby, for now

[Denis Medvedev]

On Fri, 20 Jun 2025 20:04:09 +0300
Semen Fomchenkov <armatik@altlinux.org> wrote:

> 
> 20.06.2025 19:56, Andrey Limachko пишет:
> > Обращение в сеть должно быть осознанным для пользователя. К
> > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
> О каком виджете погоды GNOME вы говорите? То что в центре
> уведомлений, использует приложение погоды GNOME, то что можно
> добавить расширением тоже использует погоду GNOME. Да и странно бы
> было получать погоду не из интернета, так что ограничения любой
> работы с сетью выглядит достаточно странно, если это нужно
> пользователю, то пусть настраивает firewall.
оно ставится по умолчанию, что не дает человеку принять решение, надо
ему или не надо такое поведение.
Лучше бы ставился файрвол с возможностью добавлять исключения по 
попыткам приложений лезть в интернет. Тогда увидев, что приложение
"погода" полезло в интернет, можно было бы 
разрешить ему это
или снести это приложение
или протоколировать его трафик, 
или запретить ему выход в сеть.
> >
> > 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>:
> >> Еще один прекрасный пример - это hplip, который загружает
> >> проприетарный плагин для себя.
> >>
> >> On 20/06/2025 16:51, Sergey wrote:
> >>>> не обнаружил policy, регламентирующего обращение
> >>>> с пакетами, возможности которых в значительной степени зависят
> >>>> от сторонних компонент, скачиваемых, с участием пользователя или
> >>>> без, откуда-то извне.
> >>> Да, тут клондайк, похоже.
> >>> winehelper, epm play, portproton, winetricks, waydroid и т.д.
> >> -- 
> >> Best regards,
> >> Alexandr Shashkin
> >> Alt Linux Team
> >> _______________________________________________
> >> Devel mailing list
> >> Devel@lists.altlinux.org
> >> https://lists.altlinux.org/mailman/listinfo/devel
> 



-- 

Re: [devel] zed is alive, baby, for now

[Alexandr Shashkin]

Вполне согласен с этой логикой. Тот же codium позволяет загружать 
дополнения из магазина из окна самой IDE. И он не один такой.

20.06.2025 19:56, Andrey Limachko пишет:
> Не понимаю, что такого в том, что приложение загружает бинарники из сети? Так
> много кто делает, тут уже упомянули об этом. Использование docker'а, к примеру,
> под эти цели и заточено.
>
> Другое дело, если приложение делает это самостоятельно, без запроса или, на
> худой конец, предупреждения. Тут я полностью согласен - такое поведение не
> допустимо.

-- 
Best regards,
Alexandr Shashkin
Alt Linux Team

Re: [devel] zed is alive, baby, for now

[Semen Fomchenkov]

20.06.2025 20:47, Denis Medvedev пишет:
> On Fri, 20 Jun 2025 20:04:09 +0300
> Semen Fomchenkov <armatik@altlinux.org> wrote:
>
>> 20.06.2025 19:56, Andrey Limachko пишет:
>>> Обращение в сеть должно быть осознанным для пользователя. К
>>> примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
>> О каком виджете погоды GNOME вы говорите? То что в центре
>> уведомлений, использует приложение погоды GNOME, то что можно
>> добавить расширением тоже использует погоду GNOME. Да и странно бы
>> было получать погоду не из интернета, так что ограничения любой
>> работы с сетью выглядит достаточно странно, если это нужно
>> пользователю, то пусть настраивает firewall.
> оно ставится по умолчанию, что не дает человеку принять решение, надо
> ему или не надо такое поведение.
> Лучше бы ставился файрвол с возможностью добавлять исключения по
> попыткам приложений лезть в интернет. Тогда увидев, что приложение
> "погода" полезло в интернет, можно было бы
> разрешить ему это
> или снести это приложение
> или протоколировать его трафик,
> или запретить ему выход в сеть.
Вряд ли это подходит под системы обычных пользователей, которые 
пользуются ей имея определённый лимит дозволенного риска для 
безопасности взамен на удобном (не реагировать на каждый чих когда 
приложение выходит в сеть). Но это вполне может быть отличной фичей, 
создание полу автоматизированного контроля за процессами выходящими в 
сеть, с возможностью однократного разрешения (в рамках жизни процесса), 
разрешения на постоянный срок или ограничения доступа, но самое главное, 
что бы это было реализовано в дружелюбном формате, например как сейчас 
есть ограничение доступа к камере в GNOME. Хотя такое уже может есть, но 
я не слышал. Главное, что, опционально и не по дефолту (если мы говорим 
про системы для обычных пользователей).
>>> 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>:
>>>> Еще один прекрасный пример - это hplip, который загружает
>>>> проприетарный плагин для себя.
>>>>
>>>> On 20/06/2025 16:51, Sergey wrote:
>>>>>> не обнаружил policy, регламентирующего обращение
>>>>>> с пакетами, возможности которых в значительной степени зависят
>>>>>> от сторонних компонент, скачиваемых, с участием пользователя или
>>>>>> без, откуда-то извне.
>>>>> Да, тут клондайк, похоже.
>>>>> winehelper, epm play, portproton, winetricks, waydroid и т.д.
>>>> -- 
>>>> Best regards,
>>>> Alexandr Shashkin
>>>> Alt Linux Team
>>>> _______________________________________________
>>>> Devel mailing list
>>>> Devel@lists.altlinux.org
>>>> https://lists.altlinux.org/mailman/listinfo/devel
>
>
-- 
best regards,
Semen Fomchenkov
<armatik@altlinux.org>

Re: [devel] zed is alive, baby, for now

[Sergey]

В письме от пятница, 20 июня 2025 г. 19:56 пользователь Andrey Limachko 
написал:

[...]
> На самом деле, стоит подумать не только о загрузке бинарников, но и о любом
> обращении в сеть в целом.
Это в лучшем случае оффтопик.

[...]

-- 
Regards, Sergey

Re: [devel] zed is alive, baby, for now

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 1277 bytes --]

On Fri, 20 Jun 2025 16:51:32 +0300 Sergey wrote:
> В письме от пятница, 20 июня 2025 г. 15:31 пользователь Sergey Bolshakov 
> написал:
> 
> [...]
> > https://bugzilla.altlinux.org/54860
> 
> [...]
> > не обнаружил policy, регламентирующего обращение
> > с пакетами, возможности которых в значительной степени зависят от сторонних
> > компонент, скачиваемых, с участием пользователя или без, откуда-то извне.
> Да, тут клондайк, похоже.
> winehelper, epm play, portproton, winetricks, waydroid и т.д.

Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже.
Про epm не могу сказать, т.к. не пользуюсь.

А вот Яндекс Браузер втихаря и без контроля со стороны пользователя
докачивает бинарные компоненты. Хотелось бы поднять вопрос удаления
такого пакета из репозитория.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 12:26, Andrey Savchenko wrote:
> А вот Яндекс Браузер втихаря и без контроля со стороны пользователя
> докачивает бинарные компоненты. Хотелось бы поднять вопрос удаления
> такого пакета из репозитория.

firefox делает тоже самое, кстати.

И chromium.

Поэтому нет, я против.

Re: [devel] zed is alive, baby, for now

[Sergey V Turchin]

On Monday, 23 June 2025 12:26:54 MSK Andrey Savchenko wrote:

[...]
> А вот Яндекс Браузер втихаря и без контроля со стороны пользователя
> докачивает бинарные компоненты.
А какие? Интересно, т.к. не знал.

Firefox тоже. Потом управлять можно, но сперва скачает.

[...]

-- 
Regards, Sergey.

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/20/25 18:27, Sergey Bolshakov wrote:
> Это minimum minimorum, невыполнение которого квалифицируется
> как critical bug с известными последствиями (какими ? тут,
> похоже, тоже пробел).

firefox молча и без предупреждений качает libgmpopenh264.so
  и так уже очень давно.

Re: [devel] zed is alive, baby, for now

[Ilya Sorochan]

On Fri Jun 20, 2025 at 7:56 PM MSK, Andrey Limachko wrote:
> Другое дело, если приложение делает это самостоятельно, без запроса или, на
> худой конец, предупреждения. Тут я полностью согласен - такое поведение не
> допустимо.
>
> На самом деле, стоит подумать не только о загрузке бинарников, но и о любом
> обращении в сеть в целом.

Кстати, бинари в zed могут быть притащены и расширениями, но для этого нужно
найти это расширение и нажать кнопочку "install".

Если не нравится данный момент, то можно посодействовать апстриму в
имплементации "Ability to disallow network requests from plugins":
https://github.com/zed-industries/zed/issues/12354

--
Ilya Sorochan

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/20/25 19:56, Andrey Limachko wrote:
> На самом деле, стоит подумать не только о загрузке бинарников, но и о любом
> обращении в сеть в целом.
>
> Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет
> погоды Gnome ни кого ни о чём не спрашивает.

Так мы докатимся до того, что и самбу выкинем. наверное прежде чем 
что-то предлагать надо хорошенько подумать о последствиях.

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 12:26, Andrey Savchenko wrote:
> Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже.

https://bugzilla.altlinux.org/54594

Re: [devel] zed is alive, baby, for now

[Sergey V Turchin]

On Monday, 23 June 2025 13:55:58 MSK Anton Farygin wrote:
> On 6/20/25 19:56, Andrey Limachko wrote:
> > На самом деле, стоит подумать не только о загрузке бинарников, но и о
> > любом
> > обращении в сеть в целом.
> > 
> > Обращение в сеть должно быть осознанным для пользователя. К примеру,
> > виджет
> > погоды Gnome ни кого ни о чём не спрашивает.
> 
> Так мы докатимся до того, что и самбу выкинем. наверное прежде чем
> что-то предлагать надо хорошенько подумать о последствиях.
Поэтому я считаю это оффтопиком. По крайней мере, в этом обсуждении, т.к. и 
без этого хватает приколов.

-- 
Regards, Sergey.

Re: [devel] zed is alive, baby, for now

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 545 bytes --]

On Mon, 23 Jun 2025 14:09:00 +0300 Anton Farygin wrote:
> On 6/23/25 12:26, Andrey Savchenko wrote:
> > Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже.
> 
> https://bugzilla.altlinux.org/54594

Это неприятный баг, но он не связан с фоновым скачиванием
недоверенного кода без согласия и ведома пользователя. Не уходите
от темы.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 15:03, Andrey Savchenko wrote:
> On Mon, 23 Jun 2025 14:09:00 +0300 Anton Farygin wrote:
>> On 6/23/25 12:26, Andrey Savchenko wrote:
>>> Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже.
>> https://bugzilla.altlinux.org/54594
> Это неприятный баг, но он не связан с фоновым скачиванием
> недоверенного кода без согласия и ведома пользователя. Не уходите
> от темы.

Почему же ? Непосредственно связано. Не пытайтесь убедить меня в том, 
что в waydroid всё хорошо.

Re: [devel] zed is alive, baby, for now

[Sergey Bolshakov]

>>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes:

 > On 6/20/25 18:27, Sergey Bolshakov wrote:
 >> Это minimum minimorum, невыполнение которого квалифицируется
 >> как critical bug с известными последствиями (какими ? тут,
 >> похоже, тоже пробел).

 > firefox молча и без предупреждений качает libgmpopenh264.so
 >  и так уже очень давно.

Да, как и давно известно, что можно/нужно предпринять, чтобы
такого с ним не происходило.
По формальным признакам такое поведение -- это security treat,
"дыра в безопасности", которому в нашей BugSeverityPolicy
соответствует высший уровень blocker.

Повторю, согласно нашей же policy, я мог бы повесить на zed,
который формально ничем не отличим от ботнета, blocker и
добиваться его удаления.

Именно поэтому я ещё раз призываю сопровождающих таких
пакетов не дожидаться такого исхода, а включиться
в обсуждение.

-- 

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 15:22, Sergey Bolshakov wrote:
> Именно поэтому я ещё раз призываю сопровождающих таких
> пакетов не дожидаться такого исхода, а включиться
> в обсуждение.

Вообще в целом пока непонятно какую цель ты пытаешься достичь ?

Думаю что правильнее было бы пометить каким-то образом такие приложения 
как "небезопасные", выявлять их установку в системе и выводить 
предупреждение пользователю что безопасность системы нарушена.


Тот же waydroid, конечно, говорит что качает, но точно не проверяет что 
запускается.

Таких приложений будет много.

Re: [devel] zed is alive, baby, for now

[Anton Midyukov]

23.06.2025 15:25, Anton Farygin пишет:
> On 6/23/25 15:22, Sergey Bolshakov wrote:
>> Именно поэтому я ещё раз призываю сопровождающих таких
>> пакетов не дожидаться такого исхода, а включиться
>> в обсуждение.
> 
> Вообще в целом пока непонятно какую цель ты пытаешься достичь ?
> 
> Думаю что правильнее было бы пометить каким-то образом такие приложения как "небезопасные", выявлять их установку в системе и выводить предупреждение пользователю что безопасность системы нарушена.

Этим можно добиться лишь раздражения от пользователя.

> 
> 
> Тот же waydroid, конечно, говорит что качает, но точно не проверяет что запускается.

Какие-то контейнеры проверяют, что в них запускается?
Или виртуальные машины проверяют?

-- 
best regards, Anton Midyukov <antohami@altlinux.org>

Re: [devel] zed is alive, baby, for now

[Sergey Bolshakov]

>>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes:

 > On 6/23/25 15:22, Sergey Bolshakov wrote:
 >> Именно поэтому я ещё раз призываю сопровождающих таких
 >> пакетов не дожидаться такого исхода, а включиться
 >> в обсуждение.

 > Вообще в целом пока непонятно какую цель ты пытаешься достичь ?

Оценка сопровождающими таких пакетов возможности соответствовать
предложенному policy -- возможно ли вообще, намерены ли приложить
к этому усилия.

 > Думаю что правильнее было бы пометить каким-то образом такие приложения как
 > "небезопасные", выявлять их установку в системе и выводить предупреждение
 > пользователю что безопасность системы нарушена.

А после удаления таких пакетов -- 'безопасность восстановлена' ?
Гименопластика, IT edition.

 > Тот же waydroid, конечно, говорит что качает, но точно не проверяет что
 > запускается.

 > Таких приложений будет много.


 > _______________________________________________
 > Devel mailing list
 > Devel@lists.altlinux.org
 > https://lists.altlinux.org/mailman/listinfo/devel

Re: [devel] zed is alive, baby, for now

[Denis Medvedev]

On Mon, 23 Jun 2025 15:34:29 +0300
Anton Midyukov <antohami@altlinux.org> wrote:

> 23.06.2025 15:25, Anton Farygin пишет:
> > On 6/23/25 15:22, Sergey Bolshakov wrote:
> >> Именно поэтому я ещё раз призываю сопровождающих таких
> >> пакетов не дожидаться такого исхода, а включиться
> >> в обсуждение.
> > 
> > Вообще в целом пока непонятно какую цель ты пытаешься достичь ?
> > 
> > Думаю что правильнее было бы пометить каким-то образом такие
> > приложения как "небезопасные", выявлять их установку в системе и
> > выводить предупреждение пользователю что безопасность системы
> > нарушена.
> 
> Этим можно добиться лишь раздражения от пользователя.
Это вполне оправданное раздражение. Лучше о таком знать.
Хотя конечно, ignorance is bliss...
> 
> > 
> > 
> > Тот же waydroid, конечно, говорит что качает, но точно не проверяет
> > что запускается.
> 
> Какие-то контейнеры проверяют, что в них запускается?
> Или виртуальные машины проверяют?
> 
Да. Могут проверять.
И достаточно легко ограничить или контролировать доступ к интернету для
виртуалок или контейнеров, в отличие от приложений внутри просто ОС.


-- 

Re: [devel] zed is alive, baby, for now

[Sergey V Turchin]

On Monday, 23 June 2025 15:03:19 MSK Andrey Savchenko wrote:

[...]
> Это неприятный баг, но он не связан с фоновым скачиванием
> недоверенного кода без согласия и ведома пользователя.
Тут добровольное принуждение к согласию на скачивание недоверенного кода, т.к. 
без этого он неработоспособен полностью. По хорошему надо свою сборку делать.

-- 
Regards, Sergey.

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 15:35, Sergey Bolshakov wrote:
> А после удаления таких пакетов -- 'безопасность восстановлена' ?
> Гименопластика, IT edition.

После удаления таких пакетов безопасность восстановить уже невозможно ;)

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 15:34, Anton Midyukov wrote:
>> Тот же waydroid, конечно, говорит что качает, но точно не проверяет что запускается.
> Какие-то контейнеры проверяют, что в них запускается?
> Или виртуальные машины проверяют?

да, есть механизмы проверки содержимого контейнеров.

Но а так-то flatpack ничем особенным не отличается от zed или waydroid 
или firefox.

Каждый из низ по разному и с разными уведомлениями (которые естественно 
все игнорируют) качают и запускают исполняемый код из сети.

Если хочется обеспечить запуск только того, что было собрано в 
репозитории - то путь должен быть каким-то другим.

Re: [devel] zed is alive, baby, for now

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-06-20 20:56:16 +0400, Andrey Limachko wrote:

 > Не понимаю, что такого в том, что приложение загружает
 > бинарники из сети?

Из какой сети? Как осуществляется контроль целостности?
Везде ли он реализован? Что с воспроизводимостью сборки?

 > Так много кто делает, тут уже упомянули об этом.

Если кто-то творит какую-то дурь - обязательно нужно творить
такую же дурь? А зачем?

 > Использование docker'а, к примеру, под эти цели и заточено.

Использование дыркера заточено на тиражирование помоек.

 > На самом деле, стоит подумать не только о загрузке бинарников,
 > но и о любом обращении в сеть в целом.

Здесь все предельно просто: из сборочной среды доступа в сеть
быть не должно. Никакого, нигде и никогда.

То, что тот же хешер умеет unshare() без CLONE_NEWNET - это
функция отладочной среды (в качестве которой его тоже можно
использовать).

 > Обращение в сеть должно быть осознанным для пользователя.

Для пользователя - возможно. В простейшем случае - на уровне
"тут интернет, тут могут и по-всякому".

Для сборочной среды - исключено полностью. Все необходимое
попадает в сборочную среду либо в комплекте исходиников, либо
по списку сборочных зависимостей.

 > К примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.

Остается надеяться, что его запросы наружу если не анонимизированы,
то как минимум неуникальны. Впрочем, это уже забота мейнтейнера.

 > 20 июн. 2025г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>:

- Потому что люди читают сверху вниз.
- Почему нельзя писать ответ перед цитатой?


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] zed is alive, baby, for now

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-06-20 20:47:44 +0300, Denis Medvedev wrote:

 >> ограничения любой работы с сетью выглядит достаточно странно,
 >> если это нужно пользователю, то пусть настраивает firewall.

[занудным аудиторским голосом]
Пакетный фильтр не является средством обеспечения безопасности.
Total incompliance.

 > Лучше бы ставился файрвол с возможностью добавлять исключения
 > по попыткам приложений лезть в интернет. Тогда увидев, что
 > приложение "погода" полезло в интернет, можно было бы разрешить
 > ему это или снести это приложение или протоколировать его трафик,
 > или запретить ему выход в сеть.

Ээээ... а что мешает? В ядре все необходимое есть, а в ведроиде
описанный функционал чуть ли не из коробки реализован.

Я даже любимый вопрос "нахрена?" задавать не буду.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] zed is alive, baby, for now

[Sergey Afonin]

On Friday 20 June 2025, Denis Medvedev wrote:

> Лучше бы ставился файрвол с возможностью добавлять исключения по 
> попыткам приложений лезть в интернет. Тогда увидев, что приложение
> "погода" полезло в интернет

В Linux же всегда было нельзя по приложениям. Или что-то изменилось?
По UID можно, но это каждое приложение под своим UID надо тогда 
запускать.

-- 
С уважением, Сергей Афонин.

Re: [devel] zed is alive, baby, for now

[Paul Wolneykien]

В Tue, 24 Jun 2025 15:58:31 +0400
Sergey Afonin <asy@altlinux.org> пишет:

> On Friday 20 June 2025, Denis Medvedev wrote:
> 
> > Лучше бы ставился файрвол с возможностью добавлять исключения по 
> > попыткам приложений лезть в интернет. Тогда увидев, что приложение
> > "погода" полезло в интернет  
> 
> В Linux же всегда было нельзя по приложениям. Или что-то изменилось?
> По UID можно, но это каждое приложение под своим UID надо тогда 
> запускать.

  Фильтрация пакетов это несколько из другой области, это не совсем
запрещение. Между тем capabilities и namespaces, кажется, специально
были придуманы для того, чтобы ограничивать доступ --- в том числе
и к сети:

[root@host-15 ~]# curl https://altlinux.org/
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>

[root@host-15 ~]# unshare -n curl https://altlinux.org/
curl: (6) Could not resolve host: altlinux.org

Re: [devel] zed is alive, baby, for now

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-06-24 15:58:31 +0400, Sergey Afonin wrote:

 >> Лучше бы ставился файрвол с возможностью добавлять исключения
 >> по попыткам приложений лезть в интернет. Тогда увидев, что
 >> приложение "погода" полезло в интернет
 > В Linux же всегда было нельзя по приложениям. Или что-то
 > изменилось? По UID можно, но это каждое приложение под своим
 > UID надо тогда запускать.

Ну да, в ведроиде так и сделано.

В принципе, можно и бинарникам разрешения давать, но это открывает
такой простор для злоупотреблений, что лучше не надо.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/23/25 15:35, Sergey Bolshakov wrote:
> Оценка сопровождающими таких пакетов возможности соответствовать
> предложенному policy -- возможно ли вообще, намерены ли приложить
> к этому усилия.

я сопровождаю пакет opam, который качает с интернета исходники, собирает 
их определённым образом и добавляет результаты сборки в PATH пользователя.

Это то, или не то, чего будет касаться это полиси ?

Re: [devel] zed is alive, baby, for now

[Sergey Bolshakov]

>>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes:

 > On 6/23/25 15:35, Sergey Bolshakov wrote:
 >> Оценка сопровождающими таких пакетов возможности соответствовать
 >> предложенному policy -- возможно ли вообще, намерены ли приложить
 >> к этому усилия.

 > я сопровождаю пакет opam, который качает с интернета исходники, собирает их
 > определённым образом и добавляет результаты сборки в PATH пользователя.

 > Это то, или не то, чего будет касаться это полиси ?

Нет, поскольку он не включает *в себя* сторонних коппонент;
всё, что он делает, полностью описано в его же исходниках.
(это моё предположение, я не знаком с этим пакетом).

Что именно означает 'включает в себя', нуждается в уточнении,
но примерно понятно: плагин.so, плагин.{py,lua,rb,wtf} на интерпретируемом
языке без сэндбоксинга, наконец, просто исполняемый с каким-л.
IPC с основным процессом -- что там ещё бывает ?

-- 

Re: [devel] zed is alive, baby, for now

[Alexey V. Vissarionov]

Good ${greeting_time}!

On 2025-06-24 17:33:22 +0300, Anton Farygin wrote:

 >> Оценка сопровождающими таких пакетов возможности соответствовать
 >> предложенному policy -- возможно ли вообще, намерены ли приложить
 >> к этому усилия.
 > я сопровождаю пакет opam, который качает с интернета исходники,
 > собирает их определённым образом и добавляет результаты сборки
 > в PATH пользователя.
 > Это то, или не то, чего будет касаться это полиси ?

Вообще надо. Если не запретить полностью, то регламентировать.

Вся подготовка (в том числе скачивание всех исходников) должна
делаться мейнтейнером соответствующего пакета. А в процессе
собственно сборки никаких обращений наружу быть не должно, ибо
это нарушает воспроизводимость сборки.

Второе, что нужно предусмотреть - разнообразные embedded $lang
(где $lang обозначает любимый скриптовый язык автора бинарного
софта, собранного в пакет). Здесь диапазон возможных подходов
простирается от "скрипт - это такой конфиг" (а в императивной
модели оно так и есть) до "W^X любой ценой" (после чего авторы
регулярно чешут думатели в попытках заткнуть очередной способ
объехать ограничения). Но тащить конфиги откуда-то снаружи (не
из репы, да и в пакете %config(noreplace) никто не отменял) в
[полу]автоматическом режиме - это уже за гранью технического
обсуждения, а ближе к психиатрии.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] zed is alive, baby, for now

[Sergey Bolshakov]

>>>>> "Alexey" == Alexey V Vissarionov <gremlin-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org> writes:

 > Good ${greeting_time}!
 > On 2025-06-24 17:33:22 +0300, Anton Farygin wrote:

 >>> Оценка сопровождающими таких пакетов возможности соответствовать
 >>> предложенному policy -- возможно ли вообще, намерены ли приложить
 >>> к этому усилия.
 >> я сопровождаю пакет opam, который качает с интернета исходники,
 >> собирает их определённым образом и добавляет результаты сборки
 >> в PATH пользователя.
 >> Это то, или не то, чего будет касаться это полиси ?

 > Вообще надо. Если не запретить полностью, то регламентировать.

 > Вся подготовка (в том числе скачивание всех исходников) должна
 > делаться мейнтейнером соответствующего пакета. А в процессе
 > собственно сборки никаких обращений наружу быть не должно, ибо
 > это нарушает воспроизводимость сборки.

 > Второе, что нужно предусмотреть - разнообразные embedded $lang
 > (где $lang обозначает любимый скриптовый язык автора бинарного
 > софта, собранного в пакет). Здесь диапазон возможных подходов
 > простирается от "скрипт - это такой конфиг" (а в императивной
 > модели оно так и есть) до "W^X любой ценой" (после чего авторы
 > регулярно чешут думатели в попытках заткнуть очередной способ
 > объехать ограничения). Но тащить конфиги откуда-то снаружи (не
 > из репы, да и в пакете %config(noreplace) никто не отменял) в
 > [полу]автоматическом режиме - это уже за гранью технического
 > обсуждения, а ближе к психиатрии.

Вы, похоже, собрались запретить аналог pip/uv -- я не разделяю
такой подход.

-- 

Re: [devel] zed is alive, baby, for now

[Anton Farygin]

On 6/24/25 17:59, Sergey Bolshakov wrote:
> Нет, поскольку он не включает*в себя* сторонних коппонент;
> всё, что он делает, полностью описано в его же исходниках.
> (это моё предположение, я не знаком с этим пакетом).
>
> Что именно означает 'включает в себя', нуждается в уточнении,
> но примерно понятно: плагин.so, плагин.{py,lua,rb,wtf} на интерпретируемом
> языке без сэндбоксинга, наконец, просто исполняемый с каким-л.
> IPC с основным процессом -- что там ещё бывает ?

Ну тогда множество проектов это просто не затронет, т.к. они не включают 
в себя компоненты, а просто скачивают их для выполнения каких то функций.

Re: [devel] zed is alive, baby, for now

[Ildar Mulyukov]

Добрый вечер,

> On 2025-06-24 17:33:22 +0300, Anton Farygin wrote:
>  > я сопровождаю пакет opam, который качает с интернета исходники,
>  > собирает их определённым образом и добавляет результаты сборки
>  > в PATH пользователя.
>  > Это то, или не то, чего будет касаться это полиси ?

opam, pip, luarocks по своему предназначению для того, чтобы скачивать
исходники и (с компиляцией или без) получить нужные модули в
`$HOME/.local/`. С очевидными источниками, с очевидными рисками. Мне
кажется, что обсуждение не об этом.

On Wed, Jun 25, 2025 at 10:05 AM Alexey V. Vissarionov
<gremlin@altlinux.org> wrote:
> Вообще надо. Если не запретить полностью, то регламентировать.
>
> Вся подготовка (в том числе скачивание всех исходников) должна
> делаться мейнтейнером соответствующего пакета. А в процессе
> собственно сборки никаких обращений наружу быть не должно, ибо
> это нарушает воспроизводимость сборки.

opam не для сборки пакетов. А если для сборки, то без скачивания из
сети. Опять-таки, обсуждение, кажется, не об этом.

WBR
-- 
Ildar Mulyukov,
(ΙΧΘΥΣ) child of God

email: ildar.mulyukov@gmail.com
matrix: @ildar:matrix.org
blog: http://johan-notes.blogspot.com/

[devel] firewall для приложений (was: zed is alive, baby, for now)

[Arseny Maslennikov]

[-- Attachment #1: Type: text/plain, Size: 2091 bytes --]

On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote:
> On Fri, 20 Jun 2025 20:04:09 +0300
> Semen Fomchenkov <armatik@altlinux.org> wrote:
> 
> > 
> > 20.06.2025 19:56, Andrey Limachko пишет:
> > > Обращение в сеть должно быть осознанным для пользователя. К
> > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
> > О каком виджете погоды GNOME вы говорите? То что в центре
> > уведомлений, использует приложение погоды GNOME, то что можно
> > добавить расширением тоже использует погоду GNOME. Да и странно бы
> > было получать погоду не из интернета, так что ограничения любой
> > работы с сетью выглядит достаточно странно, если это нужно
> > пользователю, то пусть настраивает firewall.
> оно ставится по умолчанию, что не дает человеку принять решение, надо
> ему или не надо такое поведение.
> Лучше бы ставился файрвол с возможностью добавлять исключения по 
> попыткам приложений лезть в интернет. Тогда увидев, что приложение
> "погода" полезло в интернет, можно было бы 
> разрешить ему это
> или снести это приложение
> или протоколировать его трафик, 
> или запретить ему выход в сеть.

nftables позволяет вешать правила на трафик, причастный сокету, который
был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд
Android.)

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] firewall для приложений (was: zed is alive, baby, for now)

[Arseny Maslennikov]

[-- Attachment #1: Type: text/plain, Size: 3156 bytes --]

On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote:
> On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote:
> > On Fri, 20 Jun 2025 20:04:09 +0300
> > Semen Fomchenkov <armatik@altlinux.org> wrote:
> > 
> > > 
> > > 20.06.2025 19:56, Andrey Limachko пишет:
> > > > Обращение в сеть должно быть осознанным для пользователя. К
> > > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
> > > О каком виджете погоды GNOME вы говорите? То что в центре
> > > уведомлений, использует приложение погоды GNOME, то что можно
> > > добавить расширением тоже использует погоду GNOME. Да и странно бы
> > > было получать погоду не из интернета, так что ограничения любой
> > > работы с сетью выглядит достаточно странно, если это нужно
> > > пользователю, то пусть настраивает firewall.
> > оно ставится по умолчанию, что не дает человеку принять решение, надо
> > ему или не надо такое поведение.
> > Лучше бы ставился файрвол с возможностью добавлять исключения по 
> > попыткам приложений лезть в интернет. Тогда увидев, что приложение
> > "погода" полезло в интернет, можно было бы 
> > разрешить ему это
> > или снести это приложение
> > или протоколировать его трафик, 
> > или запретить ему выход в сеть.
> 
> nftables позволяет вешать правила на трафик, причастный сокету, который
> был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд
> Android.)

https://systemd.io/DESKTOP_ENVIRONMENTS/
Здесь приводят пример, как DE (её компонент, порождающий процессы) могла
бы, запуская приложение, помещать его в индивидуальную сигруппу (и
сокеты, открытые его процессами, попали бы под нужные правила).

Правда, если (когда?) популярные DE начнут так делать, то это ослабит
надёжность: повисли по какой-нибудь причине `systemd --user` или
`dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы
что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут.
Но это уже совсем другая история...

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] firewall для приложений

[Anton Farygin]

On 6/30/25 21:19, Arseny Maslennikov wrote:
> On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote:
>> On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote:
>>> On Fri, 20 Jun 2025 20:04:09 +0300
>>> Semen Fomchenkov <armatik@altlinux.org> wrote:
>>>
>>>> 20.06.2025 19:56, Andrey Limachko пишет:
>>>>> Обращение в сеть должно быть осознанным для пользователя. К
>>>>> примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
>>>> О каком виджете погоды GNOME вы говорите? То что в центре
>>>> уведомлений, использует приложение погоды GNOME, то что можно
>>>> добавить расширением тоже использует погоду GNOME. Да и странно бы
>>>> было получать погоду не из интернета, так что ограничения любой
>>>> работы с сетью выглядит достаточно странно, если это нужно
>>>> пользователю, то пусть настраивает firewall.
>>> оно ставится по умолчанию, что не дает человеку принять решение, надо
>>> ему или не надо такое поведение.
>>> Лучше бы ставился файрвол с возможностью добавлять исключения по
>>> попыткам приложений лезть в интернет. Тогда увидев, что приложение
>>> "погода" полезло в интернет, можно было бы
>>> разрешить ему это
>>> или снести это приложение
>>> или протоколировать его трафик,
>>> или запретить ему выход в сеть.
>> nftables позволяет вешать правила на трафик, причастный сокету, который
>> был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд
>> Android.)
> https://systemd.io/DESKTOP_ENVIRONMENTS/
> Здесь приводят пример, как DE (её компонент, порождающий процессы) могла
> бы, запуская приложение, помещать его в индивидуальную сигруппу (и
> сокеты, открытые его процессами, попали бы под нужные правила).
>
> Правда, если (когда?) популярные DE начнут так делать, то это ослабит
> надёжность: повисли по какой-нибудь причине `systemd --user` или
> `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы
> что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут.
> Но это уже совсем другая история...
Всё уже давно придумали

CGroup /:

-.slice
├─user.slice
│ └─user-1000.slice
│   ├─user@1000.service…
│   │ ├─session.slice
│   │ │ ├─xdg-permission-store.service
│   │ │ │ └─2366 /usr/libexec/xdg-permission-store
│   │ │ ├─xdg-document-portal.service
│   │ │ │ ├─2371 /usr/libexec/xdg-document-portal
│   │ │ │ └─2377 fusermount3 -o 
rw,nosuid,nodev,fsname=portal,auto_unmount,subtype=portal -- 
/run/user/1000/doc
│   │ │ ├─xdg-desktop-portal.service
│   │ │ │ └─2358 /usr/libexec/xdg-desktop-portal
│   │ │ ├─plasma-ksmserver.service
│   │ │ │ └─2455 /usr/bin/ksmserver
│   │ │ ├─pipewire-pulse.service
│   │ │ │ └─2490 /usr/bin/pipewire-pulse
│   │ │ ├─plasma-kwin_wayland.service
│   │ │ │ ├─2342 /usr/bin/kwin_wayland_wrapper --xwayland
│   │ │ │ ├─2349 /usr/bin/kwin_wayland --wayland-fd 7 --socket wayland-0 
--xwayland-fd 8 --xwayland-fd 9 --xwayland-display :0 
--xwayland-xauthority /run/user/1000/xauth_xaUBcW --xwayland
│   │ │ │ └─2408 /usr/bin/Xwayland :0 -auth /run/user/1000/xauth_xaUBcW 
-listenfd 8 -listenfd 9 -displayfd 73 -wm 75 -rootless
│   │ │ ├─wireplumber.service
│   │ │ │ └─2272 /usr/bin/wireplumber
│   │ │ ├─plasma-kded6.service
│   │ │ │ ├─2457 /usr/bin/kded6
│   │ │ │ └─2572 /usr/bin/xsettingsd
│   │ │ ├─plasma-xdg-desktop-portal-kde.service
│   │ │ │ └─2543 /usr/libexec/xdg-desktop-portal-kde
│   │ │ ├─plasma-plasmashell.service
│   │ │ │ ├─87934 /usr/bin/plasmashell --no-respawn
│   │ │ │ └─394806 /usr/libexec/kf6/kioworker 
/usr/lib64/qt6/plugins/kf6/kio/kio_http.so https 
  local:/run/user/1000/plasmashellPfCEup.625.kioworker.socket
│   │ │ ├─at-spi-dbus-bus.service
│   │ │ │ ├─2429 /usr/libexec/at-spi-bus-launcher
│   │ │ │ ├─2440 /bin/dbus-daemon 
--config-file=/usr/share/defaults/at-spi2/accessibility.conf --nofork 
--print-address 13 --address=unix:path=/run/user/1000/at-spi/bus_0
│   │ │ │ └─2446 /usr/libexec/at-spi2-registryd --use-gnome-session
│   │ │ ├─pipewire.service
│   │ │ │ └─2270 /usr/bin/pipewire
│   │ │ └─dbus.service
│   │ │   ├─2267 /usr/bin/dbus-daemon --session --address=systemd: 
--nofork --nopidfile --systemd-activation --syslog-only
│   │ │   ├─2888 /home/rider/bin/Telegram/Telegram
│   │ │   ├─23228 /usr/bin/kwalletd6
│   │ │   └─64350 /usr/libexec/kf6/kiod6
│   │ ├─background.slice
│   │ │ ├─plasma-kactivitymanagerd.service
│   │ │ │ └─2537 /usr/libexec/kactivitymanagerd
│   │ │ ├─plasma-polkit-agent.service
│   │ │ │ └─2541 /usr/libexec/polkit-kde-authentication-agent-1
│   │ │ ├─plasma-xembedsniproxy.service
│   │ │ │ └─2544 /usr/bin/xembedsniproxy
│   │ │ ├─plasma-gmenudbusmenuproxy.service
│   │ │ │ └─2539 /usr/bin/gmenudbusmenuproxy
│   │ │ ├─plasma-krunner.service
│   │ │ │ └─2826 /usr/bin/krunner --daemon
│   │ │ ├─plasma-kaccess.service
│   │ │ │ └─2540 /usr/bin/kaccess
│   │ │ ├─plasma-powerdevil.service
│   │ │ │ └─2542 /usr/libexec/org_kde_powerdevil
│   │ │ └─plasma-dolphin.service
│   │ │   └─336455 /usr/bin/dolphin --daemon
│   │ ├─app.slice
│   │ │ ├─app-org.kde.kdeconnect.daemon@autostart.service
│   │ │ │ └─2709 /usr/bin/kdeconnectd
│   │ │ ├─app-org.kde.konsole@3e2ef813ac804ecc8d7f98e45191805c.service
│   │ │ │ └─420644 /bin/bash
│   │ │ ├─app-org.kde.konsole@88c07ed7567b4a4ab0eca99c93bac3e0.service
│   │ │ │ ├─411760 /bin/bash
│   │ │ │ ├─411765 sudo su -
│   │ │ │ ├─411767 sudo su -
│   │ │ │ ├─411768 su -
│   │ │ │ └─411772 -bash
│   │ │ ├─app-solaar@autostart.service
│   │ │ │ └─2713 /usr/bin/python3 /bin/solaar --window=hide
│   │ │ ├─app-org.kde.konsole-411744.scope
│   │ │ │ └─411744 /usr/bin/konsole
│   │ │ ├─app-org.kde.konsole@0153feb8a1724ddca97bad81ce183d8c.service

Re: [devel] firewall для приложений

[Arseny Maslennikov]

[-- Attachment #1: Type: text/plain, Size: 3204 bytes --]

On Tue, Jul 01, 2025 at 09:25:59AM +0300, Anton Farygin wrote:
> On 6/30/25 21:19, Arseny Maslennikov wrote:
> > On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote:
> > > On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote:
> > > > On Fri, 20 Jun 2025 20:04:09 +0300
> > > > Semen Fomchenkov <armatik@altlinux.org> wrote:
> > > >
> > > > попыткам приложений лезть в интернет. Тогда увидев, что приложение
> > > > "погода" полезло в интернет, можно было бы
> > > > разрешить ему это
> > > > или снести это приложение
> > > > или протоколировать его трафик,
> > > > или запретить ему выход в сеть.
> > > nftables позволяет вешать правила на трафик, причастный сокету, который
> > > был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд
> > > Android.)
> > https://systemd.io/DESKTOP_ENVIRONMENTS/
> > Здесь приводят пример, как DE (её компонент, порождающий процессы) могла
> > бы, запуская приложение, помещать его в индивидуальную сигруппу (и
> > сокеты, открытые его процессами, попали бы под нужные правила).
> > 
> > Правда, если (когда?) популярные DE начнут так делать, то это ослабит
> > надёжность: повисли по какой-нибудь причине `systemd --user` или
> > `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы
> > что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут.
> > Но это уже совсем другая история...
> CGroup /:
> 
> -.slice
> ├─user.slice
> │ └─user-1000.slice
> <...>
> │   │ ├─app.slice
> │   │ │ ├─app-org.kde.kdeconnect.daemon@autostart.service
> │   │ │ │ └─2709 /usr/bin/kdeconnectd
> │   │ │ ├─app-org.kde.konsole@3e2ef813ac804ecc8d7f98e45191805c.service
> │   │ │ │ └─420644 /bin/bash
> │   │ │ ├─app-org.kde.konsole@88c07ed7567b4a4ab0eca99c93bac3e0.service
> │   │ │ │ ├─411760 /bin/bash
> │   │ │ │ ├─411765 sudo su -
> │   │ │ │ ├─411767 sudo su -
> │   │ │ │ ├─411768 su -
> │   │ │ │ └─411772 -bash
> │   │ │ ├─app-solaar@autostart.service
> │   │ │ │ └─2713 /usr/bin/python3 /bin/solaar --window=hide
> │   │ │ ├─app-org.kde.konsole-411744.scope
> │   │ │ │ └─411744 /usr/bin/konsole
> │   │ │ ├─app-org.kde.konsole@0153feb8a1724ddca97bad81ce183d8c.service

То есть, плазма _уже сегодня_ это реализовала! Отстал я от жизни. :)

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 833 bytes --]