LINUX.ORG.RU

Установка глобальных тем KDE может удалить личные данные

 ,

Установка глобальных тем KDE может удалить личные данные

0

2

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных. Пользователи сообщают о критических ошибках и полной потере данных на своих устройствах.

В сообществе пользователей Linux произошёл инцидент, который вызвал широкий резонанс и обсуждение вопросов безопасности. Речь идёт о ситуации, когда установка глобальной темы привела к удалению всех пользовательских данных, включая данные с монтированных дисков. Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Технический момент

Как указывают пользователи Reddit, причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf, автоматически удаляя все данные в папках, доступных для пользователя. Это подчёркивает риск, связанный с возможностью выполнения скриптов при установке тем и расширений, которые пользователи могут скачивать из неофициальных источников.

Реакция разработчиков KDE

После того как информация о проблеме была доведена до разработчиков KDE, были предприняты немедленные действия. Спорная тема была удалена, и команда разработчиков начала обсуждение мер, которые могли бы предотвратить подобные инциденты в будущем. Один из разработчиков отметил, что ситуация действительно ужасающая и требует серьёзного рассмотрения вопросов безопасности.

>>> Подробности

★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от DrRulez

бэкдоры есть у всех, это закон рынка, ток у Амд они сделаны хотя бы более хитро, нежели чем аппаратные у Нвидиа и физические у Интел, которые лежат буквально у всех на виду 🤔

avas1
()
Ответ на: комментарий от firkax

Ещё раз: если упрощённо говорить, то скрипты там для того, чтобы пакет А, обнаружив установленный пакет Б, мог подправить второму конфиг для правильной совместной работы из коробки

Можно пример такого пакета?

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от avas1

О5 этот фанатизм от амд. Скучно. Хочешь - пользуйся амд, роллинг-релизами, бегай голым по городу, стой на голове, что хочешь делай. Только других не агитируй делать так-же…

DrRulez ★★★★
() автор топика
Ответ на: комментарий от sanyo1234

Например любой dkms, который запускает сборку драйвера под конкретные установленные сейчас ядра, а не вообще. Или например в пакете libvlc-bin генерируется кеш плагинов, исходя из того какие именно установлены сейчас. Кстати тут ещё интереснее: как ты собрался ставить плагин к vlc в контейнер? Или он должен добавляться в уже созданный контейнер для имеющегося vlc?

Очень много пакетов с update-alternatives, но тут кстати думаю можно было бы это дело переделать из скриптового вида в формат статического конфига пакета.

А вот у драйверов nvidia: они подменяют файлы разных GL на лету, превращая их в alternatives и ставя текущую альтернативу на свои .so. То есть тут именно задумка прямым текстом: пофиксить чужой пакет когда устанавливаешься.

Как бы то ни было: ограничить пакету право менять что-то кроме своих файлов это технически совсем не проблема и контейнер для этого не нужен. Проблема - сделать так, чтобы пакет с такими урезанными правами установщика смог автоматически вписаться в систему и хорошо работать без дополнительной возни.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от sanyo1234

ну там туда, а тут по дизайну неудачно.

etwrq ★★★★★
()
Ответ на: комментарий от rupert

Ещё тем, кто на роллинге уже прилетело. Суза или арчик.

Вот и отлично. На таких пользователях обкатают, исправят и в обычные дистрибутивы для простых пользователей попадёт уже стабильный релиз.

Feonis ★★★
()
Ответ на: комментарий от firkax

Спасибо за пояснение. В эпоху виртуальных файловых систем могли бы придумать какую-нибудь песочницу - к примеру, при установке вмонтировать в нее на запись только файлы, перечисленные в манифесте. От злого умысла не сильно спасет, а от случайной лажи - вполне защита.

bender ★★★★★
()
Ответ на: комментарий от firkax

IMHO то как работает пакетный менеджер Debian - неплохо на уровне сисадмина или сборщика образов контейнеров, т.е. когда человек готов ковыряться во всех этих особенностях и нестыковках.

А пользователю нужно предоставлять уже готовые образы контейнеров для решения их задач. В случае с плагинами - это могут быть различные варианты предустановленных комбинаций таких плагинов от lite до full или предметно ориентированные.

sanyo1234
()

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных

Что за глобальные темы? Насколько я понимаю, глобальными темами можно называть темы, которые идут в комплекте с кедами по-умолчанию. А то что скачано с левых ресурсов - это левые темы от непойми кого, со всеми вытекающими отсюда последствиями.

Так что заголовок должен звучать так: Установка левых тем может удалить личные данные.

Chord ★★★★
()
Ответ на: комментарий от sanyo1234

vА пользователю нужно предоставлять уже готовые образы контейнеров для решения их задач

Когда до вас дойдет, что контейнеры - это про микросервисы, а не про пользовательские приложения?

DrRulez ★★★★
() автор топика
Ответ на: комментарий от DrRulez

Когда до вас дойдет, что контейнеры - это про микросервисы, а не про пользовательские приложения?

Когда уже до Вас дойдёт, что это лишь ваше очередное заблуждение и проявление ограниченности и зашоренности вашего мышления, а также кругозора?

Образы контейнеров - это в первую очередь способ надёжного и предсказуемого деплоя (любого софта).

sanyo1234
()

глобальная тема, которая в процессе установки исполняла команду rm -rf

Я чего-то не пойму - темы в виде скриптов оформляются, что ли? Ну тогда это дыра на уровне архитектуры.

P.S. А еще говорили, что иксы - решето. Бггг.

baobab
()
Ответ на: комментарий от Chord

скачано с левых ресурсов

Я так понял — с store.kde.org.

akho
()
Ответ на: комментарий от whbex

Ещё бы они в линуксе нормально работали без nouveau.

Свои функции по декодированию - выполняют - прекрасно. А в игры под линуксом играть - ну можно ради прикола, но, извините, я лучше на оригинальной платформе….

DrRulez ★★★★
() автор топика
Ответ на: комментарий от sanyo1234

Образы контейнеров - это в первую очередь способ надёжного и предсказуемого деплоя (любого софта).

Это пи-ц. Вот такие как вы и тащат в контейнеры томкэты и почтовые сервера. Стильно-модно-молодежные. Это пи-ц.

DrRulez ★★★★
() автор топика
Последнее исправление: DrRulez (всего исправлений: 1)
Ответ на: комментарий от DrRulez

Сервера туда пакуют умные люди, даже СУБД типа MSSQL и IBM Db2.

А я легко упакую даже и свеженький Libre Office и VSCodium ;)

sanyo1234
()
Ответ на: комментарий от WatchCat

Установщик глобальной темы запрашивает пароль рута если в глобальной теме есть тема для sddm (что логично). Вот оттуда и ноги, судя по всему, растут.

t3n3t
()
Ответ на: комментарий от DrRulez

Да вот пытался завести декодер в Firefox - не получилось, на аналогичной карте от AMD всё уже давно работает.

whbex ★★
()
Ответ на: комментарий от sanyo1234

Сервера туда пакуют умные люди, даже СУБД типа MSSQL и IBM Db2.

Ты в слове «дебилы» наделал слишком много ошибок…

Да и вообщею Почитал я твою писанину и решил в игнор тебя отправить. Удивительно. На весь лор - ты - третий….

DrRulez ★★★★
() автор топика
Последнее исправление: DrRulez (всего исправлений: 1)
Ответ на: комментарий от whbex

Я бмп почему у тебя так, но тот-же плекс с нвидиа работает - идеально. дак-же как и джели.

DrRulez ★★★★
() автор топика
Ответ на: комментарий от thunar

а ты много вообще софта видел на куте3 которое поддерживается до сих пор?

bernd ★★★★★
()
Ответ на: комментарий от DrRulez

Ты в слове «дебилы» наделал слишком много ошибок…

Форумный тролль с изображением поехавшего на аве делает заявления о дебильности IBM и Microsoft, как это мило …

Да и вообщею Почитал я твою писанину и решил в игнор тебя отправить.

Выражаю свою благодарность, чтобы больше не читать твои бредовые ответы.

Удивительно. На весь лор - ты - третий….

Боюсь, что со временем твой список будет состоять как минимум из половины ЛОРа :)

sanyo1234
()
Ответ на: комментарий от DrRulez

тащат в контейнеры томкэты и почтовые сервера

Котейнеры — это типа cgroups, неймспейсы, и oci образы? Я не знаю, с какого места начинается контейнер, но сервисам systemd можно, и часто невредно, прописывать ограничения. Ну там PrivateTmp или NoNewPriviledges. В какой момент они становятся контейнерами?

akho
()

Какая прелесть. Детские грабли :)

skiminok1986 ★★★★★
()
Ответ на: комментарий от DrRulez

Дело не в языке

Это самое печальное заблуждение, которое почему-то живёт в головах. Если ты стену красишь носком - проблема в инструменте. Строишь бункер из стекла - проблема в материале. Стрижешь волосы зажигалкой - аналогично. В таком случае ты обычно говоришь человеку - «брось зажигалку и возьми ножницы». А не «тебе нужно на курсы по стрижке зажигалкой». Почему с ЯП эта простая логика в голове у людей ломается?

Clayman ★★
()
Ответ на: комментарий от Clayman

наверное, все таки, дело в архитектуре (как обьекте управления) и голове-руках (как обьекте измерения/оценки и принятия решения)

ведь, какую базу/архитектуру я/ты/мы создашь (читай как - на сколько позволишь делать ошибки) - настолько оно и будет... делать ошибки!

а уж ошибки-то будут всегда, и это не вспоминая всуе отдельный клан каккероф и пакостеров, которым только и дай «чего нить» нагадить и сломать... во благо собственной гордыньки и бездонного кошелька :о)

да, об этом можно долго дискутировать, но одно точно, это насколько позволишь сесть на голову - настолько и залезут :о) а уж инструмент может быть разный (все дело как им владеешь, на сколько хорошо! и си/си++ тут вовсе не самое плохое, вспомним c.c.catch:o), главное голова/руки и архитектура (читай как крылья, ноги и хвост!

sunjob ★★★★
()
Последнее исправление: sunjob (всего исправлений: 5)
Ответ на: комментарий от sunjob

Удивительное дело, я пишу вроде понятную логическую цепочку, но в ответ мне то же самое «дело не в инструменте». Дело _всегда_ в инструменте. Человек может быть плохо обучен, может ошибаться, может быть в стрессе. Мы это не обсуждаем. Это данность, мы изменить ее не можем. Мы обсуждаем, что даже супер профессионал, который никогда не ошибается, при стрижке зажигалкой получит опаленную башку.

Аргументы про то, что с++ это зажигалка приводились столько раз (в том числе в местных мегафлеймах), что повторять их просто скучно.

Clayman ★★
()
Ответ на: комментарий от VertigoRed

Или его уже научили в масштабирование помимо 100% и 200%?

Масштабирование - адское зло. Ибо оно дает мыло и ломает глаза. Ну кроме указанного 200% которое сохраняет субпиксельный хинтинг по определению.

При рендеринге шрифтов впрочем в том же GTK все чудесно реагирует на DPI дисплея.

Ну а с кнопками и иконками - тут беда. Но это нужно не тупое масштабирование всего и вся и какой-то логики подстаивающей размеры иконок чекбоксиков и прочих элементов интерфейса под DPI, примерно также как и шрифт. Но тут опять проблема - в линуксе нет единого тулкита. Чтобы все работало нормально - все тулкиты должны работать примерно одинаково.

Qui-Gon ★★★★★
()
Ответ на: комментарий от Clayman

Спасибо тем, кто придумал писать ДЕ на с++.

И чем плюсы не угодили? Лучше как гномики - на джаваскрипте?

Qui-Gon ★★★★★
()
Ответ на: комментарий от Qui-Gon

Ну что ты, лучше когда у тебя миллиард CVE на работу с памятью.

inb4: руки кривые.

Clayman ★★
()
Ответ на: комментарий от Clayman

я пишу вроде понятную логическую цепочку

да, вполне логичную

стену красишь носком...cтроишь бункер из стекла...cтрижешь волосы зажигалкой

жизненно и по делу! вам в противовес приводится не аналогия, а непосредственно элементы, применительно к «производству/написанию продукта»

архитектура (как обьект управления) и голова-руки (как обьект измерения/оценки и принятия решения)

впрочем, считайте как вам угодно! кто-же вас заставит?!! видимо, мы вообще о разном :о)

p.s. возможно, я не совсем понятно для вас описал «архитектуру», имея в виду «структуру», кот. бы имела соотв. рычаги управления и степень защиты, не позволяющая «выстрелить в ногу»... ну, как-то так! и все это применительно к топику.

sunjob ★★★★
()
Последнее исправление: sunjob (всего исправлений: 6)
Ответ на: комментарий от sunjob

Ну где по делу то? Ты пишешь общие слова в духе «уой, просто люди и архитектура плохие, а инструмент хороший». Какие выводы мы должны из этого сделать? Что Ленин - гриб? И забить видимо на миллионы примеров, которые говорят, что инструмент - плохой. И на лучшие инструменты тоже забить. Просто нужно думать головой!

Советую прокрутить эту логику у себя в голове, когда рабочие у тебя дома будут делать ремонт и затопят соседей, потому что вместо разводного ключа работали отбойником. Ну просто рабочие плохие. Найдем новых и выдадим им отбойник

Clayman ★★
()
Ответ на: комментарий от bender

Ну уже почти, судя по времени появления. А так «это фамилие такое» ©

gns ★★★★★
()
Ответ на: комментарий от Qui-Gon

Масштабирование - адское зло. Ибо оно дает мыло и ломает глаза.

У меня без 125% глаза вытекают как раз, а 200% уже «ту мач».

yu-boot ★★★★★
()
Ответ на: комментарий от Qui-Gon

увеличь размер шрифта

Неприятно выглядит почему-то

yu-boot ★★★★★
()
Ответ на: комментарий от baobab

Тем, что старый код KDE v3.5/TDE14x работает образцово-показательно стабильно с QT3. Возможно потому что его разрабатывали высококлассные очень дорогие программисты.

А эксперименты с новыми версиями оставьте хипстерам.

Это почти тоже самое, что ZFS on Illumos vs ZFS on Linux.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.