The Linux Security Circus: On GUI isolation
Alexander Aksarin
<http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html>
Проверил, у меня работает, как описано. Это получается что любая прога в
рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это
огромной дырой в безопасности?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20110623083917.GA14863@debhm
Artem Chuprina
> <http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html>
> Проверил, у меня работает, как описано. Это получается что любая прога в
> рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это
> огромной дырой в безопасности?
Да. Если ты запускаешь что попало в своем X-сервере, то лучше просто знать,
что кто угодно может что угодно, чем не знать. Поскольку для работы им все
равно нужно мочь. Не с клавиатуры, так из selection, но нужно.
--
Танк - это не фаллический символ. Он просто _едет_...
(С)энта
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/87sjr0sxll.wl%r...@ran.pp.ru
Stanislav Maslovski
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ X-О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
> <http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html>
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ X-О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ (О©╫О©╫О©╫ О©╫ О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫). О©╫О©╫ cО©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫
sensitive app О©╫О©╫О©╫О©╫О©╫О©╫О©╫ XGrabKeyboard().
О©╫ О©╫О©╫О©╫О©╫ xterm (О©╫trl+LeftButton) О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ "Secure keyboard".
--
Stanislav
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20110623093...@kaiba.homelan
Igor Chumak
>> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ X-О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
>> <http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html>
>> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫
>> О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ X-О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫
>> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
> О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫. О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫ selection, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫.
>
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ ;)
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
duk
> Проверил, у меня работает, как описано. Это получается что любая прога в
> рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это
> огромной дырой в безопасности?
>
Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям?
Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то
доступ? По вашему мнению, есть какие-то приложения, что нуждаются в Х
сервировке? Если есть, то можно ли запретить пользование Х консолем в
таком случае? И будет ли это примитивным решением вышеуказанной
проблемы безопасности?
Igor Chumak
>> <http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html>
>> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫
>> О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ X-О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫
>> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
>>
>
> О©╫О©╫О©╫ьёО©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫-О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫-О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫?
> О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫-О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
chromium-browser О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫
> О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫? О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ lynx'О©╫О©╫ О©╫О©╫ xterm'О©╫ ;)
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Artem Chuprina
> >> Проверил, у меня работает, как описано. Это получается что любая прога в
> >> рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это
> >> огромной дырой в безопасности?
> >>
> > Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям?
> >
> > Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то
> > доступ?
> > По вашему мнению, есть какие-то приложения, что нуждаются в Х
> > сервировке?
> > Если есть, то можно ли запретить пользование Х консолем в
> > таком случае? И будет ли это примитивным решением вышеуказанной
> > проблемы безопасности?
> пользовательские пароли. Не все же серфят lynx'ом из xterm'а ;)
Администратор может тырить пользовательские пароли и пользуясь массой других
фич. Начиная с возможности спокойно читать память любого процесса.
--
на вопрос "как дела?" отвечать "304 Not Modified"
-- http://bash.org.ru/quote/20466
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/87oc1osne5.wl%r...@ran.pp.ru
Murat D. Kadirov
> О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
>
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫сё-О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ )
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Alexander Aksarin
> По дефолту может (как и в той же винде, впрочем). Не cможет, если
> sensitive app позовет XGrabKeyboard().
>
> В меню xterm (Сtrl+LeftButton) есть пукт "Secure keyboard".
Запускаю 2 xterm`а рядом, в первом
$ xinput test 10
во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом.
Так что похоже не работает.
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20110624124009.GB19345@debhm
Stanislav Maslovski
> On 13:31 Thu 23 Jun , Stanislav Maslovski wrote:
> > По дефолту может (как и в той же винде, впрочем). Не cможет, если
> > sensitive app позовет XGrabKeyboard().
> >
> > В меню xterm (Сtrl+LeftButton) есть пукт "Secure keyboard".
> Запускаю 2 xterm`а рядом, в первом
> $ xinput test 10
> во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом.
> Так что похоже не работает.
прямо с драйвера, а XGrabKeyboard() влияет только на получение более
высокоуровневых событий ввода.
Жаловаться можно, например, сюда:
https://bugs.freedesktop.org/show_bug.cgi?id=38517
--
Stanislav
Andrey Rahmatullin
> > > По дефолту может (как и в той же винде, впрочем). Не cможет, если
> > > sensitive app позовет XGrabKeyboard().
> > >
> > > В меню xterm (Сtrl+LeftButton) есть пукт "Secure keyboard".
> > Запускаю 2 xterm`а рядом, в первом
> > $ xinput test 10
> > во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом.
> > Так что похоже не работает.
>
> Мм, да, против этого лома, похоже, нет приема: xinput перехватывает ввод
> прямо с драйвера, а XGrabKeyboard() влияет только на получение более
> высокоуровневых событий ввода.
>
> Жаловаться можно, например, сюда:
> https://bugs.freedesktop.org/show_bug.cgi?id=38517
--
WBR, wRAR