Файлы pdf и djvu из ненадежных источников.

3

3

Добрый день! Имеются файлы pdf, djvu, которым трудно доверять в плане безопасности. Конечно можно использовать виртуальную машину, но хотелось бы узнать, есть ли способ проверить файлы этих типов, чтобы можно было их открывать и не опасаться за чистоту операционной системы.

Ссылка

←	Secure Boot: есть ли сценарии полезного использования

fail2ban samba ubuntu

→

чистоту операционной системы

девственную хоть чистоту-то?

~~mos~~ ★★☆☆☆
(02.01.19 20:00:39 MSK)

Ответ на: комментарий от mos 02.01.19 20:00:39 MSK

Уважаемый, Ваши познания в Linux произвели на меня огромное впечатление! Я создал эту тему, так как это основные типы файлов для научных работников и мне хотелось бы получить хоть какую информацию, чтобы потом самостоятельно обеспечивать нормальное функционирование операционной системы. Очень надеюсь, что эксперты все же найдутся.

mewmewz
(02.01.19 20:49:08 MSK) автор топика

pdf, djvu

PDF понятно, там может быть встроенный JS, хоть он и должен быть огорожен. Но почему DJVU? Разве там есть вектора атаки кроме багов в приложении, которое их парсит? В таком случае список очень быстро расширяется до гораздо большего объёма.

И даже для PDF атака, вроде, всегда привязана к конкретному ридеру (как обычно с багами разбора формата, если они не в какой-нибудь библиотеке).

xaizek ★★★★★
(02.01.19 20:58:21 MSK)

Ответ на: комментарий от mewmewz 02.01.19 20:49:08 MSK

основные типы файлов для научных работников

TeX, DICOM, GML, rda, PGF, dia, gpi

~~mos~~ ★★☆☆☆
(02.01.19 21:25:20 MSK)

Ответ на: комментарий от xaizek 02.01.19 20:58:21 MSK

Полностью поддерживаю. Вдогонку:

$ps2pdf file.pdf file-clean.pdf

Юзается gs.

Deleted
(02.01.19 21:32:26 MSK)
Последнее исправление: Deleted 02.01.19 21:33:45 MSK (всего исправлений: 1)

Ответ на: комментарий от mos 02.01.19 21:25:20 MSK

Я имел в виду именно файлы, которые могут быть получены из источников, которым трудно доверять, то есть книги и статьи.

mewmewz
(02.01.19 21:55:30 MSK) автор топика

Ответ на: комментарий от mewmewz 02.01.19 21:55:30 MSK

зачем берёшь книги и статьи из непроверенных источников? как можно доверять мозг непроверенной информации (я про ошибки, искажения, неподтверждённые факты...)

anonymous
(02.01.19 22:09:20 MSK)

Ответ на: комментарий от anonymous 02.01.19 22:09:20 MSK

да, кстати. подписался на сурьёзные рецензируемые журналы и всё.))

~~mos~~ ★★☆☆☆
(02.01.19 22:12:44 MSK)

Ответ на: комментарий от anonymous 02.01.19 22:09:20 MSK

Есть, например, сайт официальный https://memphis-misraim.ru/, где есть много книг, но все желательно книги проверить перед тем, как их открывать на компьютере или телефоне.

mewmewz
(02.01.19 22:13:22 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 02.01.19 21:32:26 MSK

Спасибо за ответ! Этого я не знал. Буду смотреть в этом направлении.

mewmewz
(02.01.19 22:16:02 MSK) автор топика

Ответ на: комментарий от mewmewz 02.01.19 22:16:02 MSK

ps2pdf - sh-скрипт пользующий gs и входящий в его же пакет. Если что.

Deleted
(02.01.19 22:17:33 MSK)

Ссылка

Ответ на: комментарий от mos 02.01.19 22:12:44 MSK

Может мне захотелось проверять все файлы, которые я буду открывать на компьютере.)

mewmewz
(02.01.19 22:17:44 MSK) автор топика

Ответ на: комментарий от mewmewz 02.01.19 22:17:44 MSK

у каждого свои сексуальные причуды.
зачем их на показ-то выставлять.

~~mos~~ ★★☆☆☆
(02.01.19 22:26:31 MSK)

virustotal

~~Moondancer~~
(02.01.19 22:31:30 MSK)

Ответ на: комментарий от Moondancer 02.01.19 22:31:30 MSK

а если какой нибудь свежий вирусняк которого в virustotal нету? лучше исследовать решение проблемы в духе Звездочёта (см. выше)

anonymous
(03.01.19 00:08:39 MSK)

Установи Evince через Flatpak/Snap - там оно должно быть уже огорожено в песочнице. Ну и в Ubuntu вроде как по дефолту оный поставляется с забором от AppArmor (а в федоре с selinux наверняка). Так что совсем простой эксплойт не пройдёт, а мутить сложный под линукс с гномом никто не будет.

Ну или замути свой забор длиной повыше по подобию https://github.com/Rafiot/apparmor-profiles/blob/master/profiles/usr.bin.evince

snizovtsev ★★★★★
(03.01.19 00:34:03 MSK)

Ответ на: комментарий от snizovtsev 03.01.19 00:34:03 MSK

Тут до меня дошло, что автор хочет обезопасить не себя, а пользователей библиотеки, которые могут и под виндой сидеть.
Тогда да, всякие тулзы на основе gs (они будут работать как print to file), обёрнутые bubblewrap.

snizovtsev ★★★★★
(03.01.19 00:43:57 MSK)

Ответ на: комментарий от anonymous 03.01.19 00:08:39 MSK

лучше исследовать решение проблемы в духе Звездочёта (см. выше)

От эксплоитов не спасёт. Но кому нужны эксплоиты в маргинальных швабодных читалках?

~~Moondancer~~
(03.01.19 01:15:52 MSK)

Ссылка

Ответ на: комментарий от Deleted 02.01.19 21:32:26 MSK

Будто в gs не находили дыр

Shadow ★★★★★
(03.01.19 01:39:52 MSK)

Ответ на: комментарий от Shadow 03.01.19 01:39:52 MSK

Будто в gs не находили дыр

Ну и что толку с этих «дыр». Дыры-недыры, всё-равно перемалывает файл.

Deleted
(03.01.19 02:43:05 MSK)

Ссылка

Ответ на: комментарий от snizovtsev 03.01.19 00:43:57 MSK

Я давно уже не пользуюсь Windows.

mewmewz
(03.01.19 06:57:19 MSK) автор топика

Ссылка

Ответ на: комментарий от mos 02.01.19 22:26:31 MSK

Зачем глупости писать в теме, которая важна для меня и окружающих?

mewmewz
(03.01.19 07:12:21 MSK) автор топика

Ссылка

{pdf/djvu} to png и не сношай никому мозг.

init_6 ★★★★★
(03.01.19 07:12:44 MSK)

Ответ на: комментарий от init_6 03.01.19 07:12:44 MSK

И что я буду делать потом с png файлами?

mewmewz
(03.01.19 11:31:59 MSK) автор топика

Ответ на: комментарий от mewmewz 03.01.19 11:31:59 MSK

И что я буду делать потом с png файлами?

С безопасными png файлами? Просматривать? А что ты собирался делать с небезопасными {pdf/djvu}??

init_6 ★★★★★
(03.01.19 11:33:50 MSK)

Ответ на: комментарий от mewmewz 03.01.19 11:31:59 MSK

Можно также посоветовать poppler-utils и mupdf для анализа содержимого pdf-файлов.

Deleted
(03.01.19 12:12:53 MSK)

Ссылка

Ответ на: комментарий от init_6 03.01.19 11:33:50 MSK

Ну тогда уж zip-ануть их в cbz и смотреть через comix.

Deleted
(03.01.19 12:14:07 MSK)

Ответ на: комментарий от snizovtsev 03.01.19 00:34:03 MSK

Установи Evince через Flatpak/Snap - там оно должно быть уже огорожено в песочнице.

Ты исходник flatpak смотрел? На строку --filesystem=host внимание не обратил? Объяснять нужно?

anonymous
(03.01.19 12:18:52 MSK)

Ответ на: комментарий от anonymous 03.01.19 12:18:52 MSK

Ссылка на Evince Flatpak

anonymous
(03.01.19 12:20:15 MSK)

Ссылка

Ответ на: комментарий от Deleted 03.01.19 12:14:07 MSK

Ну тогда уж zip-ануть их в cbz и смотреть через comix.

Да без разницы.

init_6 ★★★★★
(03.01.19 12:20:22 MSK)

Ответ на: комментарий от init_6 03.01.19 12:20:22 MSK

Да без разницы.

Как без разницы? Набор картинок, либо один комикс, в который ещё и текстовое описание можно в-zip-ить

Deleted
(03.01.19 12:22:05 MSK)
Последнее исправление: Deleted 03.01.19 12:26:11 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от anonymous 03.01.19 12:18:52 MSK

Если открывать непосредственно из файлового менеджера, то --filesystem=host не нужен. Или даже лучше поставить Okular, он работает с порталами. Или же переписать на --filesystem=host:ro.

anonymous
(03.01.19 15:37:53 MSK)

В Qubes есть приблуда, для безопасной конвертации pdf. Но она перегоняет текст в картинки, так что смотри, стоит ли оно этого.

anonymous
(03.01.19 15:40:24 MSK)

Ответ на: комментарий от anonymous 03.01.19 15:37:53 MSK

Что за чушь ты пишешь?

Ты тему (flatpak) изучи сначала, посмотри как был собран Evince во flatpak. По-умолчанию он имеет полный доступ к всему хосту на чтение и полный доступ ко всем доступным данным на rw для запускающего пользователя.

anonymous
(03.01.19 15:45:16 MSK)