LINUX.ORG.RU

Установка глобальных тем KDE может удалить личные данные

 ,

Установка глобальных тем KDE может удалить личные данные

0

2

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных. Пользователи сообщают о критических ошибках и полной потере данных на своих устройствах.

В сообществе пользователей Linux произошёл инцидент, который вызвал широкий резонанс и обсуждение вопросов безопасности. Речь идёт о ситуации, когда установка глобальной темы привела к удалению всех пользовательских данных, включая данные с монтированных дисков. Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Технический момент

Как указывают пользователи Reddit, причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf, автоматически удаляя все данные в папках, доступных для пользователя. Это подчёркивает риск, связанный с возможностью выполнения скриптов при установке тем и расширений, которые пользователи могут скачивать из неофициальных источников.

Реакция разработчиков KDE

После того как информация о проблеме была доведена до разработчиков KDE, были предприняты немедленные действия. Спорная тема была удалена, и команда разработчиков начала обсуждение мер, которые могли бы предотвратить подобные инциденты в будущем. Один из разработчиков отметил, что ситуация действительно ужасающая и требует серьёзного рассмотрения вопросов безопасности.

>>> Подробности

★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 1)

Если бы не сложность сборки давно бы KDE добавил в дистрибутив. Вы только посмотрите сколько пакетов:

https://linuxfromscratch.org/blfs/view/stable-systemd/kde/frameworks5.html

И это только KDE Frameworks, одна из многих зависимостей.

Вот еще бонусы всякие:

https://download.kde.org/stable/release-service/23.08.5/src/

Выходит правильно писали специалисты из АНБ: чем меньше элементов в системе, тем она стабильнее.

b0r1s
()
- Кто вы?
- Мы секта СПО!!!
- Чего вы хотите?
- Мы хотим чтобы весь софт распространялся в исходных кодах!!!
- Почему вы этого хотите?
- Потому что мы - не тупое быдло, мы умеем читать исходники, мы хотим свободы, мы хотим полного контроля, мы не хотим чтобы корпорации внедряли нам свои анальные зонды через проприетарные решения, мы хотим, чтобы каждый мог...
- Ладно-ладно, понятно. Вот вам открытый общественный репозиторий
- ...
- Что не так?
- Но ведь там баги, вирусы и бэкдоры.
- Вы же сами хотели.
- Нет, мы не так хотели. Мы хотели, чтобы было безопасно.
- То есть вы хотите, чтобы некая организация контролировала качество софта в репозитории и только одобренные пакеты могли быть установлены в систему?
- Чо??? Нет, это же звучит как App Store!
- Идите в жопу
FishHook
()
Ответ на: комментарий от FishHook

Нет, это же звучит как App Store!

Проблема с App Store не в том, что это App Store, а в том, что он один от одного вендора.

То же самое со снапом. Не сильно разбираюсь в его устройстве, но говном его делает то, что snapcraft зашит внутри и никак не добавить свой репозиторий snap, только идти на поклон к барину.

MoldAndLimeHoney
()
Ответ на: комментарий от avas1

покурит матчасть и напишет нормальный DE на GTK

скуриться и не станет писать

а почему на на куте?

x905 ★★★★★
()
Ответ на: комментарий от firkax

Да, там скрипты (речь про deb). И нет, песочница там не возможна, потому что эти скрипты по задумке должны иметь доступ ко всему - чтобы не иметь ограничений в настройке системы для работы пакета.

Поэтому на хосте нужно использовать immutable LiveCD, собранный и протестированный заранее, а сервисы запускать в контейнерах, тоже собранных заранее.

sanyo1234
()
Ответ на: комментарий от MoldAndLimeHoney

Проблема с App Store не в том, что это App Store, а в том, что он один от одного вендора.

То же самое со снапом.

Это лишь один из недостатков.

Промышленный стандарт - OCI контейнеры, а все эти выдумки типа снапа - от лукавого.

sanyo1234
()
Ответ на: комментарий от FishHook
  • Мы хотим чтобы весь софт распространялся в исходных кодах!!!

Какая связь между открытостью и свободой делать коммиты в mainstream ?

.NET открыт, но при этом не загажен дерьмом.

Тоже самое можно сказать и про JVM.

Но Фишхрюк слишком авторитетен со своим мнением, чтобы к нему не прислушиваться.

sanyo1234
()
Ответ на: комментарий от FishHook

дядь Саш, ты на личности то не переходи, ага?

Не, ну это какая-то биполярка получается ? На аве одно нарисовано, а личность совсем другая? Так чтоли?

sanyo1234
()

Поскольку темы создают кто угодно, нужен AppArmor профиль, с разрешениями только на определённые файлы и каталоги, в том числе на чтение!

Это заметили из-за удаления, а так может разные темы читают и сливают ваши данные. Не удивлюсь.

linalex
()
Ответ на: комментарий от FishHook

Клоуны со своим «прыщебляди!!! швабодка!!! кококо!!! швабодкафилы соснули!!!» не нужны. Это вообще ортогонально опенсорсу. Это вопрос культуры разработки программных продуктов, а не вопрос открытости. В проприетарном проекте может быть принята высокая культура разработки, а может и наоборот. То же касается и опенсорса.

hateWin ★☆
()
Ответ на: комментарий от linuxuser112

Я могу ошибятся, но когда я им пользовался (это было лет 6 назад), он периодически вылетал. И да, с вайландом там тоже проблемы. Хотя они писали, что планируют добавить поддержку вайланда

hateWin ★☆
()
Ответ на: комментарий от einhander

А если соседские ребятишки побегут с моста прыгать, ты тоже прыгнешь, я правильно понял?

liksys ★★★★
()
Ответ на: комментарий от linuxuser112

Тогда молодцы. Может, рано или поздно выйдет что-то годное

hateWin ★☆
()
Ответ на: комментарий от hateWin

Лучше я на гноме дальше сидеть буду

Слава Богу в Гноме темы запретили. А вы еще спрашивали почему, дескать, эти нехорошие не дают нам ставить лгбт-школотемы, я, может, так вижу, хочу настроить систему ПОД СЕБЯ!

MoldAndLimeHoney
()
Ответ на: комментарий от MoldAndLimeHoney

Слава Богу в Гноме темы запретили.

Где?

whbex ★★
()

Открыл загрузку новых оформлений. Сразу вижу предупреждение

Доступное здесь содержимое было загружено обычными пользователями и не проверялось разработчиками на функциональность и стабильность.

Спасибо хоть не лепят значки confirmed / verified / safe!11 не глядя, как некоторые.

Включил фильтр «сначала самые популярные». Да уж. Не знаю что страшнее, риск потерять данные или такое оформление.

macrohard ★★
()
Ответ на: комментарий от no-dashi-v2

А я думал, что эту тему кто-то на спор написал.

imul ★★★★★
()

установка глобальных тем в KDE может привести к удалению всех личных данных

это тема в стиле «минимализм»

akho
()
Ответ на: комментарий от macrohard

В gnome вместо тем расширения.

Наличие у расширений потребности запускать код более-менее понятно. Расширения, публикуемые на extensions.gnome.org, по этой причине проходят премодерацию.

Про темы вообще неясно, зачем им запускать код вне песочницы. Насколько я понял, в кдешный каталог темы попадают без модерации.

Это все не одно и то же, и вполне иллюстрирует разницу в подходах между Gnome и KDE.

akho
()
Последнее исправление: akho (всего исправлений: 1)
Ответ на: комментарий от sanyo1234

а я думал что говнюки только сторонники systemd, всё равно что KDE, что GNOME содержат не отключаемую телеметрию (но из двух стульев я предпочту GTK)

avas1
()
Ответ на: комментарий от sanyo1234

лютый биллинг сетевого подключения, уязвимостью фс, уязвимостью конфигурационных файлов (они норм работают ток в XFCE 10 летней давности), и до кучи много лишних зависимостей, а значит есть чему сломаться, но на удивление 6 кеды мне понравились, стало лучше, ибо не все являются сторонниками старых тайлинговых окружений рабочего стола и GNOME, который адаптирован в том числе для сенсорных устройств

avas1
()
Ответ на: комментарий от imul

Видел я, видел. Насколько я помню, Макс его снес то-ли с главной страницы, то ли это потом в толксах появилось, но у всех кто это видел сложилось тогда однозначное мнение, что «надо с этим что-то делать».

gns ★★★★★
()
Ответ на: комментарий от Clayman

А причем тут С++? Тут главное «талант писателя», а на каком он языке пишет не так важно :) system(«rm -rf /») можно и из Ады вызвать с тем же результатом :)

gns ★★★★★
()
Ответ на: комментарий от FishHook

Все эти помойки, язычковые или еще какие, нужны только для мэйнтейнеров дистров. Юзерам туда по сути нельзя.

t184256 ★★★★★
()
Ответ на: комментарий от avas1

уязвимостью фс

ну-ка, ну-ка. Отсюда поподробнее. А то мне очень интересно, каким таким образом фреймворк qt влияет на безопасность файловой системы? (Мне, кстати, весьма интересно, про какую именно файловую систему идет речь?).

Твои познания и пожелания в отношении того, что-бы дебиан стал роллинг-релиз дистрибутивом - мы уже выяснили. Дерзай - поведай нам про qt и файловые системы….

DrRulez ★★★★
() автор топика
Последнее исправление: DrRulez (всего исправлений: 3)
Ответ на: комментарий от DrRulez

извиняюсь за некорректное высказывание, *поправочка уязвимость конфигурационных файлов фс

avas1
()
Ответ на: комментарий от DrRulez

ну я хотел бы видеть дебиан роллинг, жаль даже как-то что его разработчики весьма не растаропны и не могут пофиксить баг в 12 стейбл с вейленд на амд 😅

avas1
()
Ответ на: комментарий от hateWin

xfce пока что не умеет в wayland

Уже почти умеет. Ставим 4.19 и радуемся. Ну конечно работают не все вкусняшки которые работают под иксом - но это уже проблемы вейланда.

Qui-Gon ★★★★★
()
Ответ на: комментарий от avas1

ну я хотел бы видеть дебиан роллинг

Это никому не нужно, в реальности. Для таких как ты есть арч и производные. Что до дебиана и амд, что там - понятия не имею и как-то мало интересно. Потому как на серверах - вообще до сирени, а на десктопе видеокарт амд - не имею. И, в ближайшие годы, точно иметь не буду. АМД, вообще интересная компания. У них все очень хорошо - на бумаге и в разговорах. А вот на деле все оказывается не так хорошо. Так что я - лучше по старинке, на интел в качестве процессоров и, если нужно, на картах нвидиа. Благо их можно не только для игр использовать.

DrRulez ★★★★
() автор топика
Ответ на: комментарий от DrRulez

баги были встречены на проце амд и видеокарте от нвидиа 😃 P.S. intel делает физические бэкдоры в процессорах))0) а Nvidia в дровках

avas1
()
Ответ на: комментарий от sanyo1234

Ещё раз: если упрощённо говорить, то скрипты там для того, чтобы пакет А, обнаружив установленный пакет Б, мог подправить второму конфиг для правильной совместной работы из коробки. Если ты у пакета А такую возможность отберёшь (и контейнеры для этого совсем не требуются) - он это сделать не сможет и соответственно из коробки оно работать не будет.

firkax ★★★★★
()
Ответ на: комментарий от avas1

Процессоры от амд мне так-же фиолетовы, как и их видеокарты :) Про бэкдоры и все остальное могу сказать проще. Они, более чем вероятно, есть и у амд, особенно учитывая связь (весьма давнюю) этой компании и организации, чей офис сильно напоминает пентаграмму :)

DrRulez ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.