LINUX.ORG.RU

Файлы pdf и djvu из ненадежных источников.

 


3

3

Добрый день! Имеются файлы pdf, djvu, которым трудно доверять в плане безопасности. Конечно можно использовать виртуальную машину, но хотелось бы узнать, есть ли способ проверить файлы этих типов, чтобы можно было их открывать и не опасаться за чистоту операционной системы.

Ответ на: комментарий от mos

Уважаемый, Ваши познания в Linux произвели на меня огромное впечатление! Я создал эту тему, так как это основные типы файлов для научных работников и мне хотелось бы получить хоть какую информацию, чтобы потом самостоятельно обеспечивать нормальное функционирование операционной системы. Очень надеюсь, что эксперты все же найдутся.

mewmewz ()

pdf, djvu

PDF понятно, там может быть встроенный JS, хоть он и должен быть огорожен. Но почему DJVU? Разве там есть вектора атаки кроме багов в приложении, которое их парсит? В таком случае список очень быстро расширяется до гораздо большего объёма.

И даже для PDF атака, вроде, всегда привязана к конкретному ридеру (как обычно с багами разбора формата, если они не в какой-нибудь библиотеке).

xaizek ★★★★★ ()
Ответ на: комментарий от mos

Я имел в виду именно файлы, которые могут быть получены из источников, которым трудно доверять, то есть книги и статьи.

mewmewz ()
Ответ на: комментарий от mewmewz

зачем берёшь книги и статьи из непроверенных источников? как можно доверять мозг непроверенной информации (я про ошибки, искажения, неподтверждённые факты...)

anonymous ()
Ответ на: комментарий от anonymous

Есть, например, сайт официальный https://memphis-misraim.ru/, где есть много книг, но все желательно книги проверить перед тем, как их открывать на компьютере или телефоне.

mewmewz ()
Ответ на: комментарий от mewmewz

ps2pdf - sh-скрипт пользующий gs и входящий в его же пакет. Если что.

Deleted ()
Ответ на: комментарий от Moondancer

а если какой нибудь свежий вирусняк которого в virustotal нету? лучше исследовать решение проблемы в духе Звездочёта (см. выше)

anonymous ()

Установи Evince через Flatpak/Snap - там оно должно быть уже огорожено в песочнице. Ну и в Ubuntu вроде как по дефолту оный поставляется с забором от AppArmor (а в федоре с selinux наверняка). Так что совсем простой эксплойт не пройдёт, а мутить сложный под линукс с гномом никто не будет.

Ну или замути свой забор длиной повыше по подобию https://github.com/Rafiot/apparmor-profiles/blob/master/profiles/usr.bin.evince

snizovtsev ★★★★ ()
Ответ на: комментарий от snizovtsev

Тут до меня дошло, что автор хочет обезопасить не себя, а пользователей библиотеки, которые могут и под виндой сидеть.
Тогда да, всякие тулзы на основе gs (они будут работать как print to file), обёрнутые bubblewrap.

snizovtsev ★★★★ ()
Ответ на: комментарий от anonymous

лучше исследовать решение проблемы в духе Звездочёта (см. выше)

От эксплоитов не спасёт. Но кому нужны эксплоиты в маргинальных швабодных читалках?

Moondancer ()
Ответ на: комментарий от Shadow

Будто в gs не находили дыр

Ну и что толку с этих «дыр». Дыры-недыры, всё-равно перемалывает файл.

Deleted ()
Ответ на: комментарий от mos

Зачем глупости писать в теме, которая важна для меня и окружающих?

mewmewz ()
Ответ на: комментарий от mewmewz

И что я буду делать потом с png файлами?

С безопасными png файлами? Просматривать? А что ты собирался делать с небезопасными {pdf/djvu}??

init_6 ★★★★★ ()
Ответ на: комментарий от mewmewz

Можно также посоветовать poppler-utils и mupdf для анализа содержимого pdf-файлов.

Deleted ()
Ответ на: комментарий от snizovtsev

Установи Evince через Flatpak/Snap - там оно должно быть уже огорожено в песочнице.

Ты исходник flatpak смотрел? На строку --filesystem=host внимание не обратил? Объяснять нужно?

anonymous ()
Ответ на: комментарий от init_6

Да без разницы.

Как без разницы? Набор картинок, либо один комикс, в который ещё и текстовое описание можно в-zip-ить

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

Если открывать непосредственно из файлового менеджера, то --filesystem=host не нужен. Или даже лучше поставить Okular, он работает с порталами. Или же переписать на --filesystem=host:ro.

anonymous ()

В Qubes есть приблуда, для безопасной конвертации pdf. Но она перегоняет текст в картинки, так что смотри, стоит ли оно этого.

anonymous ()
Ответ на: комментарий от anonymous

Что за чушь ты пишешь?

Ты тему (flatpak) изучи сначала, посмотри как был собран Evince во flatpak. По-умолчанию он имеет полный доступ к всему хосту на чтение и полный доступ ко всем доступным данным на rw для запускающего пользователя.

anonymous ()
Ответ на: комментарий от anonymous

Смысла в этом нет, так как помимо pdf придётся искать защиту от закладок во многих форматах файлов.

anonymous ()
Ответ на: комментарий от anonymous

А какие бывают закладки и где эту тему можно подробно посмотреть?

mewmewz ()
Ответ на: комментарий от mewmewz

Их можно склеить обратно в pdf с помощью imagemagick.

Deleted ()

firejail evince путь_к_файлу

anonymous ()
Ответ на: комментарий от anonymous

Не каждый пользователь будет переопределять что-либо.

Тем более при использовании плоскопакетов.😜

Про изучение. Ты сколько сам пакетов flatpak собрал и если собрал хоть один, то какой? Хочется узнать твой уровень знаний по теме.

anonymous ()

Разобрал -> Проверил -> Собрал заново -> Спокойно читай. Всё в песочнице или в виртуальной машине для пущей уверенности.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.