On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote: > On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: > > On Fri, 20 Jun 2025 20:04:09 +0300 > > Semen Fomchenkov wrote: > > > > > > > > 20.06.2025 19:56, Andrey Limachko пишет: > > > > Обращение в сеть должно быть осознанным для пользователя. К > > > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. > > > О каком виджете погоды GNOME вы говорите? То что в центре > > > уведомлений, использует приложение погоды GNOME, то что можно > > > добавить расширением тоже использует погоду GNOME. Да и странно бы > > > было получать погоду не из интернета, так что ограничения любой > > > работы с сетью выглядит достаточно странно, если это нужно > > > пользователю, то пусть настраивает firewall. > > оно ставится по умолчанию, что не дает человеку принять решение, надо > > ему или не надо такое поведение. > > Лучше бы ставился файрвол с возможностью добавлять исключения по > > попыткам приложений лезть в интернет. Тогда увидев, что приложение > > "погода" полезло в интернет, можно было бы > > разрешить ему это > > или снести это приложение > > или протоколировать его трафик, > > или запретить ему выход в сеть. > > nftables позволяет вешать правила на трафик, причастный сокету, который > был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд > Android.) https://systemd.io/DESKTOP_ENVIRONMENTS/ Здесь приводят пример, как DE (её компонент, порождающий процессы) могла бы, запуская приложение, помещать его в индивидуальную сигруппу (и сокеты, открытые его процессами, попали бы под нужные правила). Правда, если (когда?) популярные DE начнут так делать, то это ослабит надёжность: повисли по какой-нибудь причине `systemd --user` или `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут. Но это уже совсем другая история...