Ubuntu 24.10 представит систему запросов на разрешения для усиления безопасности

Хотя может они смогут наконец то реализовать по человечески: с помощью развёрнутого центра настройки.

Но ведь это есть со старта

Ну, не знаю. Я в Альте пользую.

Есть где и со старта чего? Вот на скрине есть очень креативная и информативнаЯ штука, гарантирующая пользователю кошмар при минимуме функционала. На по ссылке «подробности» есть видео, где очень идиотское окно вылезает ДО того, как браузер сохранит файл. Причём косяк двойной - это фокс, а у фокса логика скачивания совершенно ненормальная: сначала начинает качать во временный файл (нужно вывести запрос), потом спрашивает куда качать (запрос на переименование скрытого временного в открытый временный, кажется даже с перемещением между папками) а потом переименование временного в готовый (третий запрос).

Но вот что будет с реализацией?

Традиционно, такое, что выпиливание этой штуки вместе со снапом — будет первым необходимым шагом что бы начать пользоваться бубунтой.

с появления снапа

Что то я ничего такого про убунту не слышал и не видел. И сейчас всё довольно убого представлено.

А поддержку lvm в инсталляторе это позорище предоставить не хочет?

Сколько было кукареков о Федоре, дескать АЛЬФА ВЕРСИЯ ДЛЯ РАБОВ РЕДАХАТА! Зато в Убунте-то какая штабильность, в ЛТС версии просто выпилили поддержку лвм и пердолься как хочешь!

Повод попробовать хотя бы ради ликвидации убогости

С чего ты взял? https://packages.ubuntu.com/noble/lvm2

Если я захочу файерфокс, который работает - я лучше пособираю его в генту а не в убунте.

А что какой-то не работает?

Они больше 3 лет пытались достичь паритета функционала снап- и нормальной версии. Насколько я знаю не получилось.

В макоси удобно сделано. Если куда-то приложение хочет попасть, вылезает окошко с вопросом дать доступ или не дать.

Эти окошки за первые 5 минут задолбают и будешь клякать не глядя, иначе ниче не возможно сделать

Там немного не так сделано. Ограничен доступ в несколько папок, к примеру рабочий стол, документы и тд. Большинство приложений работают в своих рабочих папках, которые где-то в ~/Library/Application Support созданы и им доступ никуда больше и не нужен. При этом если ты открываешь файл или каталог системным диалогом (или перетаскиваешь файл на приложение), то доступ конкретно к этому файлу или каталогу даётся автоматически.

То бишь я запускаю редактор, и могу работать со своим ~/projects без каких-либо дополнительных вопросов, т.к. я эту папку сам создал и на неё никакие ограничения не распространяются. Я могу в этом редакторе открыть любой файл системным диалогом и этот редактор сразу получает доступ к этому файлу опять же без дополнительных окошек. И вот только если этот редактор вдруг решит полезть в ~/Documents без диалога открытия файла, а просто потому-что (к примеру KiCad это пытается делать, создавая там какой-то свой мусор), только тогда приложение зависает и система просит разрешение.

Поэтому эти запросы действительно видишь довольно редко.

Другой вопрос, что какой-то пользы в этом лично я не вижу. Если бы оно ~/.ssh ограничивало - это было бы хорошо. Но не ограничивает. А в ~/Downloads у меня всякий мусор, зачем туда доступ ограничивать - я вообще не понимаю. То бишь система вроде правильная и полезная, но реализация, как обычно, подкачала.

Ну и ещё добавлю, что для консольных приложений этот доступ не разграничивается. Доступ нужно дать Terminal-у, а всё, что в нём будет запускаться, этот доступ получит. Это тоже большой минус для тех, кому от системы нужно больше, чем браузер и Music.app.

Круто звучит, спасибо за пояснение

Чуть больше двух (апрель 2022) и проблемы со скоростью загрузки были решены к лету 2022.

Это ж надо настолько погано написать новость чтобы из этакой простыни текста было вообще непонятно что это.

Они переизобрели мастдайный UAC? Это специфичный для snap компонент?

Уж лучше бы с opennet скопипастил раз сам не умеешь.

А с путями, темами, и взаимодействием с другим софтом?

А чего там было не так?

Она позволит пользователям контролировать, управлять и лучше понимать поведение приложений, работающих на их устройствах.

Т.е. убунта уже доросла до понимания что нужен AppArmor, но еще не доросла до того что он уже есть и не нужно изобретать велосипед.

Д вроде были какие то косяки, следующие из архитектуры снапа.

Через AppArmor всё это и реализуется, есличё. И сам AppArmor в бубунте довольно давно.

Новость - нескучный гуй к нему.

Нескучный гуй к AppArmor в openSuse, уже больше 10 лет. А это так, баловство.

Вообще годно. Пердолится в консоли и шарится по манам в поиске формата конфигов apparmor совсем не интересно. Но у меня арч, так что я в пролёте.

Лучше btrfs впилить. Lvm костыли это прошлый век.

В архитектуре снапа же не было никаких косяков. О чем речь? Это же не флэтпак в самом деле. )

Но это же монтируемые образы, да ещё с изоляцией? А как на этот фокс какой нибудь лептон ставить или другой мод? Или почему они городят те же xdg-portal вместо нормального прямого взаимодействия с прочим софтом?

Что тебе мешает?

монтируемый атомарный образ как костыль для лежащих на диске файлов.

Не понимаю чем, тебе мешает образ. Из пакетов, те же файлы, просто лежат в фс и не из-под рута тебе тоже придётся костылить к ним доступ.

Так а здесь и у рута нет доступа. Плюс помойка. Плюс стрельба из пушки по воробьям - механизм разделяемых библиотек послан на 3 буквы максимально извращённым способом вместо того, чтобы просто статически слинковать все эти зависимости, которые так нереально сложно обслуживать. Плюс натягивание совы на глобус, когда сначала непредназначенный для изоляции софт принудительно изолируется, а потом костылится хз что для обхода изоляции чтобы не потерять функционал, который при появлении автоматом снова становится вектором для атаки, только теперь у нас 2 вектора на одну и ту же атаку и ещё пакет прослоек, совершенно не бесплатных.

А если действительно нужна изоляция, то хватит откапывать-закапывать стюардессу, ну напишите уже это самое приложение под универсальную кроссплатформенную виртуалку с какой нибудь псевдо-ОС внутри и оформите это как RFC. А то универсальные, мать их, пакеты, но только для убунту и только под амд64. А у меня НЕ убунту и НЕ амд64.

А потом всё заканчивается тем, что то ли убунту, то ли федора пакует в снап/флатпак отдельный пакет для набора стандартных адвайта-иконок...

Ну, почему же, в той же убунте есть core22, core24 итд, да и тот же кде разбит на отдельные снапы для qt, kf, и ещё отдельные приложения отдельно. Приведи пример куда что нужно костылить и зачем? Как по мне, если мы изолировали приложение, то пусть оно в изоляции и работает.

Опять же, есть всякий софт, который больше не поддерживается разработчиками или тех разрабов нет в живых, или код закрыт, или трудоёмко очень переносить. Тут отлично подходит бандлить всего старые зависимости и не жужжать, чем городить огород с виртуалками. Да с машина на машину потому проще пакет перекинуть, чем образ виртуальной машины.

И, кстати, флатпак уже научился работать без десктопа?

Как по мне, если мы изолировали приложение, то пусть оно в изоляции и работает.

Но по факту мы не изолировали приложение! Мы собрали его из десятка снапов (привет пакеты, зависимости и разделяемые библиотеки) а чтобы это хоть что то могло делать - обвешали порталами, дбасами и прочими сложными прослойками, ни одна из которых не является безопастной а вместе это просто взрыв на макаронной фабрике.

Я не против изолировать браузер и почтовик в разные виртуалки, но собирать подобным образом ОС? В обход системного пакетного менеджера?! Что они вообще хотели получить на выходе? Очередной андроид что ли?

Тут отлично подходит бандлить всего старые зависимости и не жужжать

Я на примере флатпака прочувствовал насколько там всё отлично. Оно само себя собраь и запустить не может, в генту и войде по крайней мере зависимости нормально разрешаются и документация проще и понятней. А у этих упрощаторов зависимостей просто все зависимости оказались скрытыми - то архитектура не та, но версии ядра/месы/видеодрайвера не те, то железо не подходит, то репа не видится, то зависимость установи руками или настройки какого нибудь системного демона не те. Ради прикола, попробуй запустить флатпак для последней федоры на олдолдстэйбл дебиане на старой желехке в lxde - поймёшь почему идея изначально калечная.

А виртуалки нужны именно чтобы абстрагироваться и от железа и от ОС. По факту так проще, надёжней и безопастней. А потенциально ещё и терминалы на реальном железе будут автоматом получаться.

Флатпак жеж

Мы собрали его из десятка снапов

Если очень хочется можно собрать 1 общий

обвешали порталами, дбасами и прочими сложными прослойками

Я бы не назвал стандартизированные десктопные достаточно простецкие технологии сложными прослойками

ни одна из которых не является безопастной

Для этого у нас есть аппармор. Тебе же не достаточно чтобы у твоей квартиры была дверь? Есть ещё замок, глазок, тамбур, домофон и дверь в парадной тоже с замком.

Что они вообще хотели получить на выходе?

АБ-обновление, например. Отказоустойчивость при потере питания так обеспечивается например. Возьми ту же стимос, там система обновляется скопом и есть флатпак для всего остального, а в убунтекор всё есть снап и это прекрасно.

насколько там всё отлично

Попробуй lddm Там запустить )))

в генту и войде по крайней мере зависимости нормально разрешаются

Если бы это было действительно так, то снап и флатпак никогда не появились бы.

… то железо не подходит, то репа не видится …

Ни разу не сталкивался. Что за дистр?

Ради прикола, попробуй

Флатпак достаточно ущербный. Тут ничего не поделаешь.

По факту так проще, надёжней и безопастней

Виртуалка даёт больше всего накладных расходов. Для решения одноминутной задачи это как стрелять из пушки по воробьям. Можно, конечно, просто очень дорого.

Флатпак такое не умеет

Умеет жеж, там можно хоть доступ к шине ограничить, про расшаренные для каждого приложения папки я молчу.

Это другой уровень. Функционал flatseal/bitwarden был в снапе ещё версии 1.0.

До 26.04 сидим на попе ровно. А там уже шестые кеды завезут

Зачем, если из снапа их можно воткнуть хоть на 22.04