в linux есть программы, которые работают из простых бинариков из домашней директории например, они не требуют установки, стартуеш файл и пользуешься программой.
так вот, интересно, почему например фирефокс и хром не делают браузеры в таких бинариках, хотя бы в качестве альтернативы установочным пакетам.

Потому что умные люди придумали пакетный менджер не просто так, а кто ставит в обход — ССЗБ.
Таки если программа «А» засунет свои грязные ручки в ~/.config и ~ и наставит там своих конфигов всё и засрёт, то удаление «А» не решит проблему, а пакетный менеджер — может решить.
«sudo make install» — вот из той же комедии.

ведь это удобно и в систему не лезет так сказать

Зато лезет тебе в хоум, ОК.

P. S. Если мне не изменяет память, то nix умеет ставить пакеты локально в хоум юзера, самое то.

Да и если все так будут делать, то мы скатим линус в тотальный вантуз.

А симанки, кстати, так делает.
https://www.seamonkey-project.org/releases/

грязные ручки

например фф или хром, они ведь так и так имеют доступ к .config но устанавливая их из под рута ты до кучи предоставляешь доступ и к системе им

не знал, круто.

не подскажешь как тут 50 score побыстрому набрать, сорян за офтоп?

например фф или хром, они ведь так и так имеют доступ к .config но устанавливая их из под рута ты до кучи предоставляешь доступ и к системе им

Но ПМ теоретически может разруливать такие ситуации сам.

но устанавливая их из под рута ты до кучи предоставляешь доступ и к системе им

Суй в контейнеры.
Есть какой-то диструбитив, где все приложения вертсятся в контейнерах.

не подскажешь как тут 50 score побыстрому набрать, сорян за офтоп?

Пиши новости.

так контейнеры тоже не особо секурные то и дело фиксят что то в них пачками.

имел ввиду, что например мозила, все его знают, рученки у него не чище чем у остальных, берет и делает бинарик фф, который можешь скачать с сайта и стартовать из хомяка, типа это удобно в некоторой ситуации может оказаться, почему бы не использовать. И вот если при таком раскладе, мозила делает такой пакет, то с точки зрения секруности какой пакет мозилы окажется более крут для системы, тот что из пм ставится или тот, что с бинарика стартуется?

ого, но понял, весело вообщем

имел ввиду, что например мозила, все его знают, рученки у него не чище чем у остальных, берет и делает бинарик фф, который можешь скачать с сайта и стартовать из хомяка

Опять же это в обход ПМ, что может быть плохо.

типа это удобно в некоторой ситуации может оказаться, почему бы не использовать

Это называется portable-софт.

И вот если при таком раскладе, мозила делает такой пакет, то с точки зрения секруности какой пакет мозилы окажется более крут для системы, тот что из пм ставится или тот, что с бинарика стартуется?

Если ПМ грузит пакеты из некоего репозитория, то из ПМ, ибо тогда пакет пройдёт девять кругов ада и если кто-то поломает моззилку и выложить подставные бинарники, то никто не пропустит, а пакет для репы соберут мейнтейнеры из исходников и протестируют. Ну а какие-то подозрительные подвижки могут быть обнаружены, в случае подмены исходников.
Если, конечно, в мейнтейнерах не сидят дурак, плюющие на безопасность.

Опять же это в обход ПМ, что может быть плохо.

ну так пакет проверенный с офсайта мд5 и все такое сходятся, что может быть не так, например?

Если, конечно, в мейнтейнерах не сидят дурак, плюющие на безопасность

надеюсь что таких нет :)

ну так пакет проверенный с офсайта мд5 и все такое сходятся, что может быть не так, например?

Можно и пакет подменить, и md5 под видом обновления, не?

md5

Даже в SHA-1 коллизию нашли, какой мд5?

надеюсь что таких нет :)

Linux Mint.

https://ftp.mozilla.org/pub/firefox/releases/54.0/

при желании говорят вообще все возможно.

но ладно, снимаю вопрос, лично я считаю что секурнее бинарик в хоме и не давать даже самой чисторукой программе доступа к системе посредствам запуска ее установщика из под рута, потому что с неполадками .config по большому счету проще справится чем с неполадками системы если софт фигово написан, хотя бы по этим соображениям.

потому что с неполадками .config по большому счету проще справится чем с неполадками системы если софт фигово написан

Тогда все эти неполадки с системе могут превратиться в неполадки в хоуме, что, мне кажется, ещё хуже.

с хоуме можно сделать новую хоуме и это мне кажется лучше чем сделать новую с системе

…и потерять важные данные.
Или ты хоум и систему на одном разделе держишь?

считаю что секурнее бинарик в хоме

Допустим, у нас каким-то образом запустился злонамеренный процесс с правами пользователя. В каком случае он потенциально может нанести больше вреда — когда он может изменять только конфигурацию браузера или заодно может подменять его бинарники?

обычно на одном, не вижу смсысла на разных, важных данных же не имею икаких, зато заморочек меньше. но хом я настраиваю проще чем систему и быстрее, по крайней мере переустановка не нужна если бекапами не пользоваться

обычно на одном, не вижу смсысла на разных

Тогда всё очень плохо.
Вот мой хоум уже успел после его создания три системы и rm -rf /* пережить, если бы я не создал отдельный раздел — всё бы пропало.

зато заморочек меньше

Особенно при смене дистра/установки другого.

а какой из процессов может больше врида причинить тот который из под рута запускается или тот который из под пользователя? перефразирую твой вопрос. ведь в примере софт один и тот же и если в его бинариковой версии есть такой процесс то и в рутовой версии он есть.

так вот, интересно, почему например фирефокс и хром не делают браузеры в таких бинариках, хотя бы в качестве альтернативы установочным пакетам

Делают. С официального сайта лисы именно такая херня и качается. Это называется шиндовс-вей. Любишь жрать говно — пользуйся на здоровье.

как более секурно для пользователя, ставить браузер из под рута или без рута?

Более секурно — ставить софт только пакетным менеджером, а /home монтировать в noexec, чтобы юзер вообще ничего не мог запустить, что установил не админ (хотя он сможет всякую скриптоту всё равно, но это отдельный вопрос).

Особенно при смене дистра/установки другого.

да нет, при установке, прст на 5 движений-нажатий поменьше надо делать если на одном разделе

а какой из процессов может больше врида причинить тот который из под рута запускается или тот который из под пользователя?

Так кто тебе запретил-то запускать фуррифокс из /usr/bin/firefox из-под своего пользователя? Писать-то нельзя будет, но запускать — можно.

да нет, при установке, прст на 5 движений-нажатий поменьше надо делать если на одном разделе

…чтобы потерять все данные.
5 движений-нажатий при установке — весьма мало.

но ладно, снимаю вопрос, лично я считаю что секурнее бинарик в хоме

Значит у тебя в голове каша. Бинарник в хоме = возможность юзеру изменять бинарник. О какой тут секурности вообще может идти речь?

бинарик в хоме и не давать даже самой чисторукой программе доступа к системе посредствам запуска ее установщика из под рута

Пакетный менеджер не запускает никакие установщики.

а какой из процессов может больше врида причинить тот который из под рута запускается или тот который из под пользователя?

Ты отличаешь установку пакета и запуск бинарника? Пакет ставится (распаковываются файлы в файловую систему и записываются, чтобы потом удалить) пакетным менеджером из-под рута. Сам софт запускается из-под пользователя.

так ты его сначала скопирую или перемести в /usr/bin а потом запускай если сможешь, тогда никто не заприщает

если в его бинариковой версии есть такой процесс то и в рутовой версии он есть.

Я имел в виду внешний процесс. Какая-нибудь другая абсолютно левая программа, установленная в хоум с варезника, может безнаказанно и незаметно шатать твой браузер и все прочие программы, установленные в хоум.

Сам софт запускается из-под пользователя

софт да, о софт в данном случае понятие растяжимое думаю, например бывает не без вриданосных файликов, которые теоретически стартанутые при старте системы с правами системы или стартанутые из хома могут разные последствия зха собой повлечь для самой системы

так ты его сначала скопирую или перемести в /usr/bin а потом запускай если сможешь, тогда никто не заприщает

Не понял.
Рут может поставить фуррифокс в /usr/bin/firefox, дать всем возможность исполнять, но отобрать возможность писать же.

О какой тут секурности вообще может идти речь

о секурности которая только в пределах хома распространяется но не далее хома и думаю это секурнее, я прст честно нуб, потому и спрашиваю такие вопросы.

Понял

IAMAI (25.06.2017 13:00:58) тролль

а я имел ввиду что такой программы нету. но вообщем понял про что ты, ех ты, о таком повпрооте я и не думал. надо подумать, а так то ты прав тогда, пакет в usr/bin птруднее такой левой программе шатать чем бинарик в хоме

не общайся со мной делов то

бывает не без вриданосных файликов

Не бывает. Ну или давай пруф. Ты можешь исследовать содержимое любого пакета, если такие прецеденты когда-либо были, не составит ни малейшего труда их найти.

которые теоретически стартанутые при старте системы с правами системы или стартанутые из хома могут разные последствия зха собой повлечь для самой системы

«Система» не имеет ценности. Ценность имеют данные пользователя. Если пользователь будет ещё и ставить софт себе в хомяк сам, то ценность системы станет ещё ниже, чем есть.

Представь себе ситуацию: ты поставил фаерфокс шиндовс-вей в хомяк. Затем ты поставил точно так же в хомяк хурмиум. Хурмиум оказался трояном, маскирующимся под хромиум. При запуске хурмиум заражает все бинарники, до которых дотянется. Что ты получил? Правильно, заражённый фаерфокс и всё остальное, что ты таким образом наставил, твоя система стала виндой. Ты её переустанавливаешь (ну или «переустанавливаешь весь хомяк, который теперь и есть система). А теперь представь, что ты поставил фаерфокс и хурмиум из репозитория. Ты запускаешь хурмиум, но он не имеет никаких прав на остальные бинарники и вообще файлы в системе, только в хомяке, а в хомяке у тебя бинарников нет, и вообще он смонтирован в noexec. Он обламывается, ты удаляешь хурмиум и ставишь хромиум.

Я не распарсил.
Сорримак, тебе нельзя пытаться троллить.

о секурности которая только в пределах хома распространяется но не далее хома и думаю это секурнее, я прст честно нуб, потому и спрашиваю такие вопросы.

Заметно. Ну так вот, при нормальной установке секурность как раз и распространяется в пределах хома, в котором нет бинарников, а при твоём шиндовс-вей — в пределах хома, в котором есть бинарники нескольких программ.

«Система» не имеет ценности. Ценность имеют данные пользователя

Во-во, полностью согласен.

И да, кстати по теме: погугли firejail (как самый удобный и простой вариант), а также AppArmor и SELinux. Это то, что тебе нужно, если действительно нужна секурность.

Например firejail позволяет выделить программе отдельный псевдохомяк, скрыв хомяк пользователя, а также гибко настроить доступ к различным возможностям системы (уже вне файлов), например сделать так, чтобы программа думала, что подключения к сети нет вообще и т. п. Я через него всякую проприетарь запускаю (игры например, стим).

а если бинарик без прав на запись типа r-x в хоме? ведь тогда один бинарик другой не может менять, но при этом у него не может быть прав системы и ни у одного из его файлов которые он разместил в системе при установке, которой не было ибо.

Не бывает. Ну или давай пруф

не правильно выразился, имел ввиду не бывает, а может быть теоретически, сорян

а если бинарик без прав на запись типа r-x в хоме?

А чего такой бинарник в хоме забыл?

а если бинарик без прав на запись типа r-x в хоме? ведь тогда один бинарик другой не может менять

Что мешает другому бинарнику дать тупо сделать chmod a+w -R $HOME вместо, если файл принадлежит тому же пользователю, от которого эти бинарники запускаются? Значит они должны принадлежать не ему, так? Вот подумай ещё, сразу не пиши, а потом ещё чуть-чуть. И ты придёшь примерно к тому, как всё сейчас и устроено.

не правильно выразился, имел ввиду не бывает, а может быть теоретически, сорян

Может. Только твой шиндовс-вей не решает этой проблемы, а усугубляет, поскольку вся «система» за исключением ядра по сути переносится в хомяк. И ничто не мешает точно так малвари же прописаться в какие-нибудь автостарты (например при логине пользователя) и делать, всё что хочется, наоборот такой подход, открывает этому ворота.

Если ты рут, то и так можешь поставить любой браузер. А /home должен быть с noexec, иначе о какой безопасности ты вообще говоришь?

Сидишь на ведне — сиди дальше, ссзб. Но не лезь со своими дурными привычками в нормальные ОС. Софт ставится только из репозитория.

при твоём шиндовс-вей

я прст не могу понять зачем программа при установке обязана иметь права рут такая как браузер например, создавать в etc и прочем каталоги для пользователя который в дальнейшем не имеет прав к действию над этими каталогами не получив прав администратора. понято, что таким путем программа страхует уничтожение собственных конфигов но неужели не существует способов страховать целостность этих конфигов в собственной директории в хоме например

И ты придёшь примерно к тому, как всё сейчас и устроено
но неужели не существует способов страховать целостность этих конфигов в собственной директории в хоме например

я прст не могу понять зачем программа при установке обязана иметь права рут

Она не обязана, она не может их иметь. Программа не имеет прав рута. С правами рута запускается только пакетный менеджер. Никакого «установщика» он не запускает.

создавать в etc и прочем каталоги для пользователя который в дальнейшем не имеет прав к действию над этими каталогами не получив прав администратора

Именно для секурности. Это должен делать не пользователь, а администратор. Пользователь (и софт, запущенный от него, что важно, дело не в том, что пользователь дебил, а в том, что он может запустить какой-то скрипт например, или даже бинарь, если хомяк без noexec) не должен иметь прав менять систему.

понято, что таким путем программа страхует уничтожение собственных конфигов

Неверно. Программа ничего не страхует. Она вообще понятия не имеет, куда её распаковывают. Страхует система, пакетный менеджер.

понято, что таким путем программа страхует уничтожение собственных конфигов но неужели не существует способов страховать целостность этих конфигов в собственной директории в хоме например

nix в хоум, но ССЗБ, да.

но неужели не существует способов страховать целостность этих конфигов в собственной директории в хоме например

Существует. Но они менее безопасны, а при достижении того же уровня безопасности крайне кривы и неудобны, а самое главное бессмысленны.

И да, тебе выше уже сказали, что существует такой пакетный менеджер nix и дистрибутив на нём, где устроено так, как хочешь ты — пользователь может сам ставить себе софт. Чего тебе ещё надо, ставь себе этот NixOS и радуйся, причём там сделано даже по уму. Но нести этот болезныйстранноватый подход во все дистрибутивы — увольте.

так я и сижу, ради любознательности отчасти, отчасти в силу необходимости, ну нет компа у меня норм чтоб из под линя игру тащить смог, которая нравится, а щас у меня период в жизни когда без игры не могу, вот и при выборе без игры или на лине, я выбрал с игрой и мне все равно на твое трольство и того приятеля сверху который веем все подначивает думайте что хотите если понять не можете вашэ право.

а насчет темы, мне прст это интересно было вот и спросил, я думал об этом долго однажды, потому что мне думается так, есть системный софт и есть прочий, прочий к системе и ее нутру не обязан иметь отношения и возможности влиять на нее, как то это мало логично, но на деле все именно так. и тогда и подумал, почему же так все устроенно, разве трудно, раскаталожить софт по хомяку, каждый каталог только вещь в себе и для себя словами канта но при этом без прав до системы. и понял так, что раз так не сделано, значит это трудно, но тут я отвлекся от темы топика, она не про то, но с топика многое почерпнул, спасибо всем кто поучавствовал, да, только из реп и только из официальных за неимением лучшего конечно.