Ну молодец. Только дальше что? Я вообще могу кувалдой по системнику врезать и сказать что это уязвимость. (вспомнил хакера и солонки).

пользователю должно быть запрещено исполнение кода из любого файла, кроме /usr/bin/flatpak

А то что, распаковываешь ты такой архивчик, пдфочка/тхтшка/мп3шка ничего страшного не случится же.

никогда такого не было, и вот опять

http://i.imgur.com/wyoliLY.png

Картиночка для наглядности. А то в треде уже умники нашлись, которые слишком умны для того чтобы попасться на такой грубый трюк.

В винде такое ещё 10 лет назад проворачивали, с virus.jpg.exe, а линпукс только теперь догнал, значит.

Купи антивирус и спи спокойно.

а подскажите, какой лучше покупать? а то почему-то на этом форуме все темы про антивирус удаляются, и из-за этого я не могу понять

а подскажите, какой лучше покупать? а то почему-то на этом форуме все темы про антивирус удаляются, и из-за этого я не могу понять

Бери все и запускай одновременно. Надежней будет.

это же наверняка очень дорого! неужели так плохо обстоят дела? видимо придется временно, до дня рождения, использовать windows - там я точно знаю, что достаточно одного бесплатного антивируса от майкрософт. а на день рождения друг обещал подарить мне макбук ♥

а на день рождения друг обещал подарить мне макбук ♥

Ты главное ему логин раньше времени не давай, а то все они такие - «на день рождения, ну конечно». А потом и след простыл и вирусы лечить.

Ну офигеть «дыра». Всё, что вы скачали из сети, может быть использовано против вас. Тоже мне новость.

3. Make it executable

Ясно

Для Ъ: тестировались Nautilus, Thunar, Caja, Nemo, PCManFM, PCManFM Qt, Dolphin. Из них единственным нормальным оказался Dolphin — он не прячет расширение и показывает предупреждение при попытке запуска .desktop-файла. Остальные — прячут расширение и запускают без предупреждения. Задание произвольной иконки поддерживают все.

Флаг +x сохраняется при распаковке .tgz архива (в примере там человек скачал .tgz с якобы обоями и распаковал их средствами ФМ).

Флаг +x сохраняется при распаковке .tgz архива

Подшаманить, чтобы не сохранялся. Тоже мне проблема.

Из них единственным нормальным оказался Dolphin — он не прячет расширение и показывает предупреждение при попытке запуска .desktop-файла

Значит, можно спать спокойно.

у меня нет десктопа (в смысле DE). да даже когда и был, я его ни разу не использовала. совершенно фиолетово, что там за такие .desktop-файлы.

к тому же, локальный юзер, который имеет право на запуск приложений и запускает всякую фигню - это не уязвимость, а просто дебил за компом.

GUI-распутницы в очередной раз показали свое убожество перед CLI-пуританами.

GUI-'женщины с пониженной социальной ответственностью' же!

Dolphin — он не прячет расширение

У меня PCManFM тоже не прячет. ЧЯДНТ?

Все претензии относятся к «из искаробочной убунте» я так понимаю?

Подшаманить, чтобы не сохранялся. Тоже мне проблема.

Может стоит вернуться к старой доброй традиции и монтировать с правами на исполнение только специальные каталоги? А не архиваторы патчить школоло-безопасными патчами.

наконецто портировали баг из win2k

локальный юзер, который имеет право на запуск приложений и запускает всякую фигню - это не уязвимость, а просто дебил за компом

Ну щас весь хомяк монтируют с без ограничений и «типа так удобнее». Пусть страдают.

Это не баг, а фича.

в win была фича когда создаешь два ярлыка ссылающихся друг на друга - то explorer падает при открытии каталога с ними (особенно уместно размещать их на рабочем столе), когда ждать в gnome?

pcmanfm 1.2.5

У меня PCManFM тоже не прячет.

4.2

Прячет. И даже никакого бита исполнения не надо, чтобы по Enter запустился код.

Пруфпик: http://s019.radikal.ru/i632/1702/3c/2678d9abfd22.png

ЧЯДНТ?

Версия какая?

4.2

А, ну только .desktop прячет, извиняюсь.

К слову: .desktop отличается поведением — например его нельзя переименовать по F2 и сразу на это напоролся.

И я продолжаю настаивать — это фича, а не баг.

Точнее не прячет, а отображает значение параметра Name[ru_RU]:

Name=Bokeh_Tails.jpg
Exec=sh -c 'zenity --warning --text "ССЗБ"'
Terminal=false
Icon=/home/mandala/kanap_top.jpg
Type=Application
Categories=Graphics
Name[ru_RU]=наркоман.jpg

А первый Name тут вообще будет игнорироваться.

Так у него указанное имя в нем самом показывается, вместо имени файла. Вот казалось бы, нафиг так делать где-либо кроме лаунчеров.

Точнее не прячет, а

Точнее: отображает не реальной имя файла, а строку из самого файла.

Name

Name[ru_RU]

Добро пожаловать в дивный мир спецификации https://standards.freedesktop.org/desktop-entry-spec/latest/

А я тебе о чём? Это фича.

А кто-то говорил, что это баг?

Вон багрепортов наплодил это перец с реддита. Хакер и солонка, ага.

А зачем делать его исполняемым, кстати?

А зачем делать его исполняемым, кстати?

Я выше писал: незачем. И так работает. Возможно, в наутилусе не работает? Проверять лень.

Вон багрепортов наплодил это перец с реддита. Хакер и солонка, ага.

В данном случае это всё же довольно опасное поведение, и оно ломает абстракцию «имя файла». Имхо, нет смысла по умолчанию обрабатывать *.desktop файлы как таковые где-либо за пределами меню приложений. Если пользователю надо, пусть будет настройка у ФМ для такого поведения, в дефолтной конфигурации выключенная.

Фича работающая против пользователя. Полноэкранные окна и окна без заголовков туда же.

шо опять

скачать сканпелять запустить от рута?

Нет, написать в .desktop файле вызов рмрфхомяк и прилепить картинку которая наверняка есть у пользователя.

Пользователи хранят desktop-файлы на «рабочем столе» и много где еще. Они обрадуются ограничениям, ага.

Тут буквально на днях было — как должен эмулятор терминала реагировать на «опасный» копипаст. В итоге: пусть ССЗБ себе «антивирус» поставят, который будет следить за буфером обмена, за desktop-файлами и прочими местами где можно прищемить себе яйца.

бинго! ты сам все за меня написал. только кртинку можно не лепить. итого эксплуатация стандартного и всем известного поведения.
в чемк кипиш?

ЗЫ в моей бубунте Mate предупреждает при щелчке на левый .desktop может apparmor может сам мате не знаю - так шо даже антивирус на этот случай есть 🤘

GUI-распутницы в очередной раз показали свое убожество перед CLI-пуританами.

Ты зря так плохо думаешь об ГУИ. Ведь голова ГУИ растёт из КЛИ.

в примере там человек скачал .tgz с якобы обоями и распаковал их средствами ФМ

Бугагашечки. Прям вижу как миллионы человек по всему миру качают обои в .tgz архивах.

Может стоит вернуться к старой доброй традиции и монтировать с правами на исполнение только специальные каталоги?

А если что-то надо будет запустить? Таскать это по каталогам?

А не архиваторы патчить школоло-безопасными патчами.

Зачем его патчить? Приделать в гуй chmod -R -x после распаковки и усе.

а подскажите, какой лучше покупать? а то почему-то на этом форуме все темы про антивирус удаляются, и из-за этого я не могу понять

у тебя 2 звезды есть, значит можешь смотреть удаленные. там ты узнаешь, какой антивирус тебе нужен.

Gnome 2.32: http://imgur.com/a/AUAlw

Выдаётся предупреждение о том, что desktop файл не проверен на безопасность.

Если нажать кнопку считать проверенным, то да, файл будет отображаться как картинка, но не раньше этого.

Я вчера днем посмотрел — сабжу не нужны права на исполнение. Видать великий хакер-безопасник только вчера линукс увидел. Свежий взгляд, все дела...

Gnome 2.32
2.32

Мы всё просрали!

И что, у меня Gentoo, системные компоненты актуальные, а DE - Gnome 2.32, ну привык я к нему.

Ну и защита есть, почему в других DE и ФМ не так, не знаю.

Я вчера днем посмотрел — сабжу не нужны права на исполнение.

Нууу, для юзеров, это печально будет конечно. Вообще это странно, что .desktop'у дают запускать что попало без прав.

Я и говорю — в старом гноме защита есть, а все остальные сосут с причмокиванием. Ладно там PCManFM мой голый, но всякие бубунты то...

Как вы в интернеты то хотите с консоли ?