Új hozzászólás Aktív témák

• #35312 urandom0 őstag

  Új Válasz 2025-12-18 17:18:12 #35312

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  urandom0

  őstag

  Kíváncsi vagyok a véleményetekre.

  Van ugye a D-Bus, mindenki tudja, mi az (aki nem tudja: folyamatok közti kommunikációt lehetővé tévő rendszer). Ez szinte minden Linuxban ott van. Bármelyik program feliratkozhat rá, és küldhet ill. fogadhat üzeneteket.

  Viszont van vele egy gond, ez a blogbejegyzés szépen le is írja, de már évekkel ezelőtt is kapott CVE kódot. A gond az, hogy a Gnome jelszótárolójának backendje, a Secret Service API lehetővé teszi, hogy D-Buson keresztül bármelyik program hozzáférjen a gépen tárolt jelszavakhoz, ha a kulcstartó nyitva van (és alapértelmezésben folyamatosan nyitva van, amikor a felhasználó használja a gépet). A Google Chrome, a Network-Manager, és sok egyéb program is így tárolja a jelszavakat, tehát azok bármikor kiolvashatók bármelyik program által, mert a D-Busban nincs semmilyen hozzáférés-szabályozás. Kb. mintha egy sima szöveges dokumentumban tárolnád a jelszavaid. A Gnome fejlesztői viszont ezt nem tekintik hibának, mert szerintük a Gnome keyring nem azért van, hogy védjen a jelszavakat a gépen futó programoktól, hanem hogy védje őket a külső támadástól ellen... itt egy hosszú beszélgetős erről (angolul).

  Elméletileg sandboxolt alkalmazásokkal (flatpak, snap) lehet védekezni ez ellen, de hát nem lehet mindent sandboxban futtatni, sokan nem is használnak ilyeneket.

Új hozzászólás Aktív témák