Безопасность оснастки под X11

Проблема не со снимками, а с X11, который является 30-летней технологией, разработанной без больших соображений безопасности.

Для "рассмотрения проблемы" просто необходимо избавиться от X11. Система без него, такая как серверы, может извлечь выгоду из изоляции снимков прямо сейчас. Новое Мир , который заменит xserver, надо надеяться, раньше скорее затем позже, как предполагается, обращается к проблемам безопасности X11.

Вы больше затем можете считать Matthew Garrett сообщение в блоге для удовлетворения любопытства. Это говорит:

проблемой здесь является система управления окнами X11. X не имеет никакого реального понятия разных уровней доверия приложения. Любое приложение может зарегистрироваться для получения нажатий клавиш из любого другого приложения. Любое приложение может ввести поддельные ключевые события во входной поток. Приложение, которое иначе заключено сильной политикой безопасности, может просто ввести в другое окно. Приложение, которое не имеет никакого доступа ни к одним из Ваших частных данных, может ожидать, пока Ваша сессия не неактивна, откройте неограниченный терминал и затем используйте завихрение для отправки данных в удаленный сайт. Пока рабочий стол Ubuntu все еще использует X11, Поспешный формат предоставляет Вам очень мало значимой безопасности.

Это конкретно касается снимков то использование X11. Другими словами, снимки не неограниченное выполнение, но если заключение снимка включает доступ к X, то да: это имеет доступ к X. Это не включает снимки, которые не используют unity7 или x11 интерфейсы. Проблема, описанная в том сообщении в блоге, является известным ограничением X и является одной из причин, технологии альтернативы разрабатываются (например, Мир).

Gustavo Niemeyer записал хорошее сообщение в блоге, которое обсуждает это . Я заключу в кавычки здесь для потомства и полноты:

безопасность возражала, заметит, что X11 не является на самом деле защищенным протоколом. Много системных злоупотреблений возможны, когда мы вручаем приложению это разрешение. Другие интерфейсы такой как домой предоставили бы поспешный доступ к каждому нескрытому файлу в user’s каталоге $HOME (те, которые не запускаются с точки), что означает, что вредоносное приложение могло бы украсть персональные данные и отправить их по сети (предположение, что они также определяют сетевой разъем).

Некоторые могли бы быть удивлены, что дело обстоит так, но это - недоразумение о роли снимков и Мгновенный как программная платформа. Когда Вы устанавливаете программное обеспечение из архива Ubuntu, that’s оператор доверия разработчикам Debian и Ubuntu. При установке Chrome Google’s или двоичных файлов MongoDB из их соответствующих архивов, that’s оператор доверия тем разработчикам (они имеют корень в системе!). Мгновенный не избавляет от необходимости то доверие, как, после того как Вы даете часть доступа программного обеспечения к Вашим персональным файлам, веб-камере, микрофону, и т.д., необходимо полагать что это won’t использовать те допуски злонамеренно.

точка заключения Snappy’s в том изображении должна включить экосистему программного обеспечения, которая может управлять точно, что позволяется и кому ясным и заметным способом, в дополнение к, тому же процедурному уходу что we’ve все учились ценить в мире Linux, не вместо него. Препятствование тому, чтобы люди использовали все соответствующие ресурсы в системе, просто вынудило бы их использовать то же самое программное обеспечение по менее безопасным механизмам вместо того, чтобы решить проблему.

И то, что мы имеем сегодня, является только началом. Эти интерфейсы скоро станут намного более богатыми и более мелкомодульными, включая выбор ресурса (например, который последовательный порт?), и некоторые из них исчезнет полностью в пользу более безопасного выбора (Единица 8, например).