Установка глобальных тем KDE может удалить личные данные

Для работы - Trinity DE, сколько можно объяснять.

Для хипстерских финтиклюшек из плазмы, глючащих по собственному желанию - KDE v5-6+

Как это вообще получилось? Кто додумался сделать исполняемые скрипты в темах, и зачем? Уму непостижимо. И это на фоне откровенно провального релиза KDE6.

Просрали все кеды... а какая была DE!

причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf

Бгг… Это просто царский баг какой-то, джекпот… )

p.s. Спасибо, что предупредили. Если раньше я вообще не собирался ставить кеды, то теперь вообще-вообще не собираюсь…

целый день танцую с бубном, ну не работает у меня исправно Wayland на Debian/Devuan (под AMD) , проверьте кто-нить, мб пофиксят если не я один столкнулся с данной проблемой P.S. с кедами при использовании вяленного на экране становится 2-3 ФПС, с использованием GNOME не открывается браузер, либо вовсе появляется чёрный экран в меню ввода пароля (после правильного пароля) данные проблемы встретил только при использовании Wayland

Спорная тема была удалена

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

эх, может когда-нибудь в будущем кто-то хорошенько покурит матчасть и напишет нормальный DE на GTK

Бгг, с начала века ничего не поменялось.

А никогда не была. Даже во времена двойки это былинный глюкодром. Спасибо тем, кто придумал писать ДЕ на с++.

Спасибо тем, кто придумал писать ДЕ на с++

Ну я не думаю, что этот баг имеет место быть связан с С++. Да и вообще. Дело не в языке. А в том, кто пишет на этом языке. Тут-же скорее архитектурная дыра в безопасности.

А технические подробности есть?

Неужели как всегда это дидовское говнокодерство под названием «вонючие лапшевидные Bash/Shell портянки» в ногу стрельнули?

Который раз уже из-за архитектурных косяков Shell/Bash страдают люди. Случай с NVidia, случай с Yandex.Disk, ещё что-то было.

Воистину, Поттерингу нужно было начать с написания адекватного шелла, а не системы инициализации.

Ради интереса скачал глобальную тему для KDE6, в ней есть конфигурационный js, отвечающий за расположение элементов интерфейса. Он вполне мог содержать опечатку или злонамеренную директиву.

И это на фоне откровенно провального релиза KDE6.

Поясните в чём он провальный? Он только вышел. Будет доступен на обычных системах в лучшем случае с релизом весенним в тех же Ubuntu и Fedora. Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии. Пока не вижу в новой версии ничего сверхестественного. Да, немного придётся внешний вид, наверно, переделать вручную. Перешли на свежую версию Qt. По мне так обычный релиз. Когда прилетит, буду пользоваться. Пока только в виртуальной машине пробовал. Ничего такого особо плохого не заметил.

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Скажи спасибо, что эти скрипты пока ещё запускаются не в «супербезопасной» песочнице ядра.

А технические подробности есть?

rm -rf $var

Без кавычек и без проверки что там что-то есть.

Например можно не выполнять никаких скриптов при активации темы оформления? Да не...

ну это же модное кде 6 с поддержкой вейланда и написанное на всем модном что вообще есть молодыми прогрессивными небинарными трансгендерными разработчиками

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Разработчики KDE, очевидно же!

Уму непостижимо.

В KDE все так через одно место.

Провальный тем, что откровенно неотлаженный и глючный:

После выхода Plasma 6.0 количество отчетов об ошибках значительно увеличилось. В обычные дни KDE получает от 30 до 50 отчетов, однако на текущий момент эта цифра достигает 150-200 новых отчетов в день.

И мой личный опыт. Продублирую свой камент из соответствующей темы:

После обновления у меня пропала иконка телеграма в трее - пустое место есть, кликабельно, но самой картинки нет. И всплыл просто феерический баг с блокировкой экрана: после того, как экран блокируется и тухнет по таймауту, если подвигать мышкой или потыкать в клавиатуру, экран просыпается, а потом будет тухнуть при каждом эвенте. Уму непостижимо, как они этого добились. Причем на вяленном сеансе этого нет.

Но на вяленном свои приколы, в частности в виде абсолютно неюзабельного для тачпадов говна под названием libinput, скроллинг на котором превратился в какую-то боль. На иксах с синаптиком я мог мгновенно скроллить буквально на несколько пикселей, а у либинпута есть джиттер с таймаутом на реакцию, и нет никаких настроек, потому что автор считает что они не нужны.

А еще исчезли настройки тачпада в сеансе иксов, совсем.

По-моему, это провал уровня KDE4.0 != KDE4

то, что ты не смог осилить спп это чисто твой косяк. архитектурные проблемы с башкой языки программирования не лечат.

Почти все нормальные DE и так на GTK написаны, уже больше, чем нужно имхо…

кде3 уже устарело и не шевелится, а вот гном 2 вполне шевелится, я сейчас на нем. хорош как всегда и темы не удаляют файлы :D

Шелл адекватный, кроме безумного дефолта с игнорированием ошибок. Просто кто-то поленился сделать декларативные конфиги и бахнули целый install.sh из облака.

а какие из всех существующих DE были написаны на GTK?)

вовремя я сбежал, кеды скатываются всё глубже

Почему баг? Может так и задумано было. По крайней мере никаких заявлений от автора о том что он случайно не видно.

поэтому гном и лучше, всем советую!
и Ваши данные/настройки целые.

Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Какой такой системе безопасности, о чём вообще речь?

Пользуюсь Trinity. ЧЯДНТ?

Жесть какая. Всегда не доверял всяким «установщикам» тем из *-look.org. А тут, похоже, установка темы из официального источника?

Дичь какая! Oo

Да ну, гониво. Третьи кеды, как и второй гном, кстати, были очень классной ДЕ. Я на них долго сидел, горя не знал. А теперь дух второго гнома живёт в MATE, а вот третьи кеды слили (ну тринити это как-то... несерьёзно) в пользу непонятно чего вообще. Я, может, как-то отстал от жизни, но в моём образном представлении был такой игрушечный городок из кубиков — третьи кеды. Его во имя «прогресса» раскидали и теперь вместо нового городка выкладывают какую-то разноцветную мандалу на полу.

Разве тема → это не просто набор файлов, раскидываемый по буквально двум-трем каталогам? Откуда там вообще скрипт, который что-то удаляет?

А в чём проявляется «устаревание»?

Ну, не все так плохо, но интерфейс у KDE по сравнению с тем же Xfce не интуитивный.

А вообще это трындец, конечно, позволять ТЕМЕ запускать команды и скрипты. Там если что-то «скриптованное» и может быть разрешено, то только что-то полностью под колпаком DE, типа SSI, Lua, или на худой конец какого-то диалекта JS, которые в принципе не могли бы дёрнуться в сторону от жёстко ограниченных полномочий на кастомизацию заранее предопределённых файлов, которые в саму тему и входят. А вообще мы годами жили с нормальными темами, которые состояли только из текстовых файлов и картинок, и дальше так жить должны ящитаю.

Вы ошиблись с заголовком, правильный звучит так:

Красношляпочные щупальца добрались и до кед

После апдейта 6 кед перебрался обратно на свой уютный bspwm, о чем ни капли не жалею.

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

Мне кажется это как хлопок, вместо взрыва. Чтобы не пугать страусов. Ну и писать в прессрелизе слово «вредоносная», слишком сильно ударит по репутации(хотя, куда уж больше).

На реддите вот что написано

«I can't confirm whether this was malicious, to my understanding it was just a compatibility and programmers mistake gone south.»

Т.е. они не уверены, что это не случайный баг.

Мне вот интересно, у тех клоунов, что под моими каментами отметились, есть что-то по существу возразить? Может, перечисленных мной багов не существует? Или, может, исполнение шелл-скриптов из интернета - это норма? Или, скажем, количество багрепортов в сутки у KDE не возрасло? С чем вы не согласны-то, м? %)

Винлокер в ядро уже встроили, майнеры, кейлоггеры, руткиты тоже давно имеются, даже игорь завезли. А теперь уже второй (первым был Steam) инцидент по глобальному удалению данных. Linux is new Windows! \ö/

Я с Xfce ушёл на пятые кеды, просто потому что оно красивое, но после релиза шестых кед решил откатиться обратно. Сейчас, правда, пробую Cinnamon. Но я понял одно - непредсказуемость кед меня напрягает. Да, они красивые, удобные во многих моментах, но непредсказуемые просто жесть как. Теперь я понимаю, почему Xfce обновляется раз в пятилетку. Ради стабильности.

Вот это дырень. Т.е. при установки глобальная тема может выполнять шелл команды. Мне интересно, кто автор этой идеи и кто её реализовывал?

https://cyclowiki.org/wiki/Патч_Бармина

Снесение исторического поста с ЛОРа наблюдал лично :)

Разве не очевидно?

https://youtu.be/rD50VFsXPAg?si=__uYKIzzxeExPb_w

Просрали, это когда был переход с KDE 3 на KDE 4. А сейчас так себе, немножко пропукали.

ну не работает у меня исправно Wayland

Попробуй X11. Говорят, это новая, подающая надежды технология.

Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии

Ещё тем, кто на роллинге уже прилетело. Суза или арчик. Ну ничего, работать можно. Я думал, что-то сломается, но чего не сломалось и даже не крашнулось, даже скучно как-то. Но я пропустил версию 6.0.0, а сразу обновился на 6.0.2, в которой говорят самые серьезные баги пофиксили.

не знаю как вам сэр, а мне 6 кеды понравились, по сравнению с тем глюкнутым DE что щупал ранее на Debian P.S. какие существуют дистрибутивы свободные от Systemd что имели бы магазин приложений искаробки?