Сервер X.Org больше не разрешает по умолчанию клиенты с перестановкой байтов

Хоть бы примеры такого софта привели, а то звучит как нечто древнее и полузабытое

Там речь о том, что, например, с IBM s390x или PowerPC 64-bit удалённо по иксовому протоколу к современной x86_64 машине просто так теперь не подключиться.

Короче, это затронет системы х86-64, которые удалённо подключаются к X-серверам на системах IBM s390x или PowerPC.

Чтобы вернуть назад, нужно указать опцию в xorg.conf

И наоборот тоже, да.

чтобы закрыть еще одну «большую поверхность атаки»

А сколько было успешных атак через иксы за последние лет 10?

«С разным endianness», наверное, было бы понятней. А как там sparc64 в linux, жив еще?

отключить поддержку клиентов с перестановкой байтов

чВО? Можно для Ъ? Порядок байт чтоль? Что значит с перестановкой?

А сколько было успешных атак через иксы за последние лет 10?

¯\_(ツ)_/¯

А как там sparc64 в linux, жив еще?

Currently the Linux kernel is not working on at least two systems with SPARC64 CPUs from Fujitsu

Что значит с перестановкой?

The upstream X.Org Server with its next release will no longer allow byte-swapped clients by default

Один хрен я не понял, лишь построю догадку что нельзя будет подключится к серверу на машине с прямым порядком байт с машины с обратным порядком байт и наоборот. То есть по ssh -X с хоста на sparc нельзя дёрнуть окошечко с x86 и наоборот.

Если так то это тупой тупак тупака ибо так весь интеренет работает. Абсолютно весь. И свапать байты в опеределённый порядок всё равно надо. Чисто подстава =)

это тупой тупак тупака ибо так весь интеренет работает. Абсолютно весь.

Тот код маинтейнят. А соответствующий код в иксах - уже почти нет.

Protocol messages to/from the clients can be byte-swapped by the X.Org Server but that code isn't actively maintained and known to be a large attack surface for malicious clients.

Какая катастрофа… Срочно на главную!

Интернет работает на TCP/IP, где есть стандартный network byte order и функции hton[sl]/ntoh[sl] в библиотеках. Иксы совершенно не обязаны работать именно по TCP/IP, и в них проблема решалась по-своему.

Чтобы вернуть назад, нужно указать опцию в xorg.conf

Какую опцию?

If you do find a need for say a big endian X11 client to connect to a little endian X.Org Server, the «+byteswappedclients» command line option can be used with the new X.Org Server to allow the byte swapped clients or via the «AllowByteSwappedClients» xorg.conf option.

Это называется «разный порядок байт».

Когда у данных другой порядок байт и их приходится приводить к нужному виду, то что приходится с ними делать? Переставлять местами.

Вот и получается, что, можно сказать, по сути, сначала клиент с точки зрения сервера переставляет байты местами, а потом сервер переставляет байты местами чтобы получилось всё правильно.

А что, вяленый уже умеет в сетевую прозрачность? ЕМНИП она там в принципе не предусмотрена, через сеть предполагается гнать другими протоколами (не помню как называются, но в винде и лялихе они разные; смутно припоминается имя RDP – это remote desktop protocol?). А если так, то сабжевая новость – хорошая, но надо идти дальше: выпилить сетевой стек, рисовалку примитивов и весь корневой протокол вообще, оставив только DRI, как в вяленом. Тем самым упростить кодовую базу и сделать её доступнее для рефакторингов.

А что, вяленый уже умеет в сетевую прозрачность?

Xwayland - это те же самые иксы, только с выводом через Wayland.

xwayland – это временный костыль для тех, кто ещё не переписал свой говнософт под наш распрекрасный вяленый.

Как оказалось, я читал слишком по-диагонали… Благодарю.

Это, как я понимаю, в Section "ServerFlags".

// Мне оно, конечно, пока не надо, но мало ли.

А что, вяленый уже умеет в сетевую прозрачность? ЕМНИП она там в принципе не предусмотрена, через сеть предполагается гнать другими протоколами

Не предусмотрена != невозможна. См. waypipe.

Xwayland - это те же самые иксы

Запусти, пожалуйста, dwm в нем.

Через xephyr — легко.

Пробовал как-то «сетевую прозрачность», так это такое тормозилово, мама моя! Я пользоваться этим так и не смог.

И он будет управлять всеми окнами на машине? Нет, только в xephyr.

Не предусмотрена != невозможна. См. waypipe.

возможна != нужна. Я ж не просто так про протоколы более высокого уровня вспомнил. И топил за то, чтобы и из иксов её убрать.

Ты бы уточнил лол.

Но вообще, меня подмывает мысль попробовать запилить композитор для вяленда на wlroots с отдельным интерфейсом для иксовых WM.

В протоколе Wayland вообще нет средств управления окнами. В том же KDE 5 + Wayland у новых окон рандомные координаты даже если у софта есть инструкции по заданию конкретных координат.

Если появятся получится, то для многих будет без разницы что под капотом ещё один слой абстракции. Но тогда и сетевую прозрачность нужно пилить - dwm запущенный удаленно спокойно управляет окнами локальной машины.

Когда у данных другой порядок байт и их приходится приводить к нужному виду

Нормальное поведение при передече данных по сети.

Это Big/little endian? Чому робишь не як с погроммистами?

dwm запущенный удаленно спокойно управляет окнами локальной машины.

Зачем? Нахрена такое делать?

Пробовал как-то «сетевую прозрачность», так это такое тормозилово, мама моя! Я пользоваться этим так и не смог.

Чего запускал, Crysis, Call of Duty?

Потому что может)) В этом и фишка сетевой прозрачности, когда нет разницы где запущена программа.

Браузер.

Лет 13 назад через форвардинг ssh запускали 1с в вайне, пользователи вообще не понимали, что работают не со своей машиной. Как у тебя такое получилось хз, 3Д что-ли запускал, но для этого есть другие решения.

UPD. Браузер сейчас ни чем не отличается от 3д, кидает картинку изображения.

плохой браузер

Как у тебя такое получилось хз, 3Д что-ли запускал, но для этого есть другие решения.

3д тоже работает, в рамках разумного... Даже какой-то gl-doom2 прекрасно работал в 100мбит локалке. И вообще у меня целый парк был тонких X11-клиентов из всякого хлама начиная от первопней.
Но то было 10+ лет на зад, сейчас софт и тулкиты жырнее и корявее.

Регулярно запускаю git gui и gitk через ssh -X поверх wifi.

Некоторая задержка при старте (dbus что ли он ищет…) потом всё работает без проблем.

При прямом гигабитном-соеднении ещё иногда gedit запускаю - тут иногда задержку можно заметить, но ничего серьёзного.

Но то было 10+ лет на зад, сейчас софт и тулкиты жырнее и корявее.

Вот тут согласен.

В том-то и проблема, что имеет. Ты про CAP теорему слышал что-нибудь?

UPD. Браузер сейчас ни чем не отличается от 3д, кидает картинку изображения.

Вообще весь софт в лялексе сейчас именно так и работает. Уже лет 10 как.

UPD. Браузер сейчас ни чем не отличается от 3д, кидает картинку изображения.

3D не так работает, картинку рендерит видяха, как если бы она была локально, а не готовое изображение отправляется.

А сколько было успешных атак через иксы за последние лет 10?

Сейчас большинство авторов туториалов вида «как запустить программу X в контейнере/песочнице для безопасности» предлагают для x-овых программ запускать xhost + на хосте.

Получается такая безопасность… Подумываю, если написать какой-нибудь авто-сканнер X-серверов, открытых для подключения всему миру, будет любопытная картина. Спасает разве что повсеместный NAT.

Вообще весь софт в лялексе сейчас именно так и работает. Уже лет 10 как.

Далеко не весь, и это заметно.

Если не ошибаюсь то так и работает virtualgl, обычный иксервер уже шлёт подготовленное изображение.

Всё что на qt5 и gtk3 и выше. Считай что весь.

Глянул сейчас «glxinfo -B», говорит «OpenGL renderer string: softpipe», ещё всякая ругань от Xlib «sequence lost ...»
Когда-то 100% не так было, рисовалось на видяхе.
В том же glxgears фпс не зависел от размеров окна, картинка целиком не кидалась по сетке, и в кой-какие игры можно было вполне играть. А теперь печалько. Либо это у меня что-то поломано.