Wine: как далеко можно зайти?

небезопасен абсолютно
вайн имеет доступ ко всем файлам пользователя
по умолчанию диск z: указывает на /
но даже и без него у вайна есть доступ к профильным папкам пользователя, так что даже если вы прибили все dosdevices кроме c: все равно вайн имеет доступ в $HOME

права на запись есть , wine не виртуальная машина, изоляция не предусматривается
хотите запускать всякую гадость - запускаете от отдельного пользователя как минимум, а лучше в виртуалбоксе или qemu

Silvy

Спасибо за разъяснения.

p.s. игрался со всякими "гадостями" на примере qip infin-bla-bla. Ни разу в живую не видел, хотел понять, почему так нравится другим. Не нашёв ничего интересного, снёс. Он (куип) closed source... можно начинать бояться? :D

ну он как минимум уже спер ваши пароли для аськи и прочих аккаунтов
если вы их туда вводили, и передал на свой сервер для "ответственного хранения"

;)

ты отдал ему пароль от своей IM-учётки? :) а причем тут wine? :)

всё, что лежит нехорошо - лежит плохо! :)))

Точнее: все что лежит плохо - можно брать. Все что можно оторвать - лежит плохо

>Не нашёв

>.<

Здесь я с вами не соглашусь. Вайн как раз изолирует программы, ограничивая их списком дисков в dosdevices, и из WinAPI программа видит их как виндовые разделы. Другое дело что дополнительно Вайн может давать доступ на домашнюю папку или ещё хуже - корень системы. Но это всегда можно исправить. Другими словами, Вайн не defected by design.

Однако сам Вайн как контейнер имеет доступ к домашней директории со всеми вытекающими. И если хакеры обнаружат в нём дыру (а что-то мне подсказывает, что их в Вайне пруд пруди) - то вполне виндовая программа может использовать заточеный эксплойт под Вайн для выполнения произвольного кода с правами пользователя.

Исходя из этого соглашусь с выводом - для безопастности лучше пускать Вайн от отдельного пользователя с обрезаными по самое нехочу правами.

>Вайн для выполнения произвольного кода с правами пользователя.

о_О, начинаю боятся.
какая же цель у него было до этого?...

и зря, удалите все dosdevices кроме c:

а теперь откройте диалог выбора файлов и удивитесь - $HOME и корень системы по прежнему доступны

кроме того есть настройки профиля пользователя (Мои документы и т п)
по умолчанию там тоже подставлены каталоги в $HOME, к тому же все подключаемые HAL'ом флешки и прочие носители автоматом появляются и в dosdevices
вайн не такой уж и простой стал...
так что если действительно паранойа - лучше отдельный аккаунт

Дык как настроишь так и будет. А вообще с бяками играть надо в отдельной виртуалке. Развернул - поигрался. Надоело - удалил.

PS: Это не только про вирусы, а и про свежие версии софта или апдейты для продакшена.

>виндовая программа может использовать заточеный эксплойт под Вайн

Вот когда у Линукса будет хотябы 10% десктопов тогда и можно начинать ждать таких эксплойтов (точно так же как и вирусов). Но вы ж умный человек и понимаете что это фантастика :)

О каких эксплоитах вы говорите? Wine не транслирует исполняемый код, и можно без проблем использовать линуксовые системные вызовы и творить что угодно.

это 100% правда

из виртуалки тоже можно сбежать...

> из виртуалки тоже можно сбежать...

как показывают недавние новости и железо иногда пускает куда не положенно (см intel).

Да, ваша правда, что-то я прогнал. Конечно же Вайну никакие эксплойты не нужны. Достаточно чтобы вредоносный код знал что он работает под Вайном. Значит остаётся только запускать вендовые проги под специальным пользователем. А работать такая защита будет только если это предусмотрят разработчики дистрибутивов.