LINUX.ORG.RU

Выпуск безопасного screensaver'а от Google

 ,


1

2

Тихо и незаметно Google опубликовал исходный код нового хранителя экрана xsecurelock под лицензией Apache 2.0. xsecurelock - хранитель экрана для X-сервера, ориентированный на безопасность. Последняя достигается путем использования модульной архитектуры, чтобы избежать типичные уловки для обхода стандартных хранителей экрана. Также отличительной особенностью данного проекта является минимальная зависимость от компонентов в системе.

Текущие возможности:

  • Использование в качестве методов авторизации PAM - модуль, основанный на возможностях X11, auth_pam_x11 (рекомендуется разработчиками), и использующий pamtester (auth_pamtester).
  • Заставки: пустой экран (saver_blank), проигрывание видео из директории ~/Videos средствами видеоплеера (модули saver_mplayer и saver_mpv), заставка, согласно настройкам XScreenSaver'а (модуль saver_xscreensaver).
  • Простота и прозрачность создания собственного метода авторизации и заставки.

Для обеспечения максимальной безопасности хранителя экрана используются ряд методов, например:

  • Авторизация и блокировка экрана вынесены в отдельные процессы, поэтому падение одного из процессов не вызовет разблокировку экрана.
  • Основной процесс минимален и использует только возможности C, POSIX и X11, что уменьшает зависимость от ошибок в используемых библиотеках а также упрощает аудит кода.
  • Вынос основного окна на передний план во избежание попадания, например, уведомлений поверх хранителя экрана. Автоматическое изменение размера основного окна, необходимое, например, при подключении второго монитора при запущенном хранителе экрана.
  • Единственным способом завершения является положительный ответ модуля аутентификации (0), при котором xsecurelock также вернет 0. Поэтому хронические параноики могут использовать следующий способ запуска:
    sh -c "xsecurelock ... || kill -9 -1"

На текущий момент не существует стабильных релизов xsecurelock, желающим предлагается использовать исходный код, опубликованный на GitHub (для пользователей Archlinux доступен также пакет в AUR) (инструкция). Сейчас проводится стабилизация кода, первый стабильный релиз планируется подготовить в течение месяца.

К стабильному релизу планируется:

  • Расширить возможности авторизации (например, для ряда особых случаев с PAM).
  • Увеличить количество поддерживаемых заставок «из коробки».
  • Добавить *.desktop файлы для ряда «типичных» конфигураций.
  • Добавить интерфейс настройки и авторизации, написанный с использованием тулкита Gtk (отдаленное будущее).

>>> Подробности

★★★★

Проверено: fallout4all ()

$ grep i3 /usr/bin/xflock4

«i3lock -c 000000» \

наше все..

Marlboro ()

А как он реагирует на ctrl+alt+backspace и startx?

fero ★★★★ ()

Поэтому хронические параноики могут использовать следующий способ запуска:

sh -c "xsecurelock ... || kill -9 -1"

Фигня это всё, я же могу убить процесс sh, тогда никакой kill не выполнится.

Возможно, здесь уже это сказали, я тред не читал, но самый секьюрный скринсейвер в KDE, там процесс, отвечающий за сессию, рисует чёрное окно поверх всех, тем самым блокируя интерфейс, а greeter kscreenlocker'а рисует интерфейс для ввода пароля в окне, дочернем по отношению к чёрному окну. Таким образом, если падает гритер, экран не разблокируется (чёрное окно всё заслоняет), при этом гритер будет перезапущен заново. А если падает процесс, рисующий чёрное окно, то сессия тут же закроется, поскольку этот процесс отвечал за сессию.

Поэтому когда у меня отказывала клавиатура, даже залогинившись через ssh, я не мог разблокировать экран (даже через D-Bus не работал метод SetActive(false)).

С другой стороны, чтобы злоумышленник убил sh в этом скринсейвере от гугла, ему всё равно нужно уже попасть в консоль моего пользователя, но решение в KDE выглядит более надёжно на мой взгляд.

gentoo_root ★★★★★ ()
Ответ на: комментарий от cvs-255

xscreensaver — дуршлаг, а так, конечно, проблем с безопасностью не имеет.

anonymous ()
Ответ на: комментарий от stormblastt

Исходники читал? Расскажи вкратце что там за бекдоры?

naryl ★★★★★ ()
Ответ на: комментарий от anonymous

Смелый анонимус хочет сказать, что в X.org нет дырок? Или смелому анонимусу вообще сказать нечего?

Смелый анонимус не находит в себе смелости даже зарегистрироваться.

Ostegard ()

Годная новость. Ждём релиза!

lucentcode ★★★★★ ()

Там можно прон выводить из интернетов бесплатно в качестве скринсейва, а то я часто рейджусь и херакаю по монике?

Woofywoof ()

проигрывание видео из директории ~/Videos

Наконец-то! Можно троллить коллег: ставить на скринсейвер meatspin и уходить на обед.

DELIRIUM ☆☆☆☆☆ ()
Ответ на: комментарий от DELIRIUM

Митспин же на флеше. Или ты десятичасовый рендер собираешься сделать?

MiniRoboDancer ★☆ ()
Ответ на: комментарий от platinumthinker

В логах иксов есть чего интересного по этому поводу?

A-234 ★★★★★ ()
Ответ на: комментарий от Falcon-peregrinus

vlock

Плюсую: дешево и сердито.

anonymous ()
Ответ на: комментарий от MiniRoboDancer

Юноша, причем тут кеды и вантуз? Не смешивайте божественные кеды с богомерзским вантузом.

Deleted ()
Ответ на: комментарий от Deleted

При том, что человек, который предпочитает сделанную кем-то интегрированную сборку софтин разной степени удобности и полезности собственноручно собранному набору лучше всего подходящего для его задач софта — неисправимый вантуз. И «вантуз» — это не признак приверженности к ОС, это диагноз. Как школота.

MiniRoboDancer ★☆ ()
Ответ на: комментарий от MiniRoboDancer

Вроде бы предложение написал, даже синтаксически корректно, а получилась у тебя какая-то фигня без смысла. Вот же как бывает от неуёмной ненависти.

anonymous ()

позволяет ли этот велосипед пользоваться мультимедиа клавишами при включенном скринсэйвере? если нет, то наюх такой велосипед не сдался.

Deleted ()
Ответ на: комментарий от anonymous

а получилась у тебя какая-то фигня без смысла

Да как всегда...

от неуёмной ненависти

Без ненависти никуда, особенно в наше время, иначе будет бардак.

MiniRoboDancer ★☆ ()

А мне нра

Я пользуюсь и мне нра :) Поставил самый простой бэкэнд.

Diesel4Power ()

Добавить интерфейс настройки и авторизации, написанный с использованием тулкита Gtk).

Гугл знает толк в программировании. Любители Qt могут поцеловать Гугл в его гугл-глаз.

bluesman ()
Ответ на: комментарий от MiniRoboDancer

собственноручно собранному набору лучше всего подходящего для его задач софта

Кое-как работающего. Спасибо, ваше мнение услышано.

Deleted ()
Ответ на: комментарий от Ostegard

А при чём тут смелость, при регистрации адрес с телефоном надо указывать? Или ты по паспорту Ostegard? Хоббит, что-ли?

Неумелая попытка спрыгнуть с темы, и только.

anonymous ()

Теперь, если какой-то жопой, модуль аутентификации не покажет своё окошко ввода пароля выше полноэкранного окна заставки, это только убивать X-сервер.

nexfwall ★★★★ ()
Ответ на: комментарий от aplay

На секунду? Да ты счастливчик! У меня при пробуждении нетбук пару минут демонстрирует то, с чем он засыпал! Поэтому я перед усыплением всегда сворачиваю все окна.

Strannik-j ★★ ()
Ответ на: комментарий от eR

Гугл диск как менеджер файлов, как иначе то?!

aplay ★★★★★ ()
Ответ на: комментарий от Deleted

А телок голых он умеет показывать?

Как настроишь:

Заставки: пустой экран (saver_blank), проигрывание видео из директории ~/Videos средствами видеоплеера

Нет, зачем он тогда нужен?

Теперь таки нужен?

KennyMinigun ★★★★★ ()
Последнее исправление: KennyMinigun (всего исправлений: 1)
Ответ на: комментарий от eR

а менеджер файлов? или к хрому уже такое расширение состряпали?

Были времена, когда в опере можно было устроить ФМ по file:///

KennyMinigun ★★★★★ ()
Ответ на: комментарий от Deleted

Таки компьютер блокировать или на красивую заставку попялиться? Если первое, то, очевидно, данная функциональность ненужна и даже противоречит задаче. Если второе, то предлагаю воспользоваться визуализатором плеера=)

arcanis ★★★★ ()
Ответ на: комментарий от snaf

Когда то нужны были для теплых ламповых мониторов, теперь разве что для истории.

uin ★★★ ()
Ответ на: комментарий от arcanis

так, твоя моя не понимать. Обьясняю. К примеру ты вечером на ноутбуке слушал музыку, но чтоб быстро потом комп включить, ты просто захлопываешь крышку забыв остановить музыку и ноут уходит в сон. На следующий день ты приходишь на работу, открываешь крышку, ноут просыпается, музыка начинает орать, и в сейчасных линупсовых локерах и сэйверах пока их не разблокируешь, ты ни звук выключить не сможешь, не нажать на паузу.

Deleted ()
Ответ на: комментарий от KennyMinigun

Теперь таки нужен?

Я уже конпелирую :3

Deleted ()
Ответ на: комментарий от Quasar

Дырки не в X.org, а в современных говнотулкитах.

Дырки как раз в X.org и будут практически в каждой реализации X11.

Сейчас любая гуевая программа, удалённо запущенная с любого хоста независимо от прав может:

  • прослушать пароль в любом скринсейвере (да и не только скринсейвера), включая сабж. Нерешаемо в рамках X11-серверов by design
  • минимизировать/ресайзить/закрыть окно любого скринсейвера

И при чём тут тулкиты? Или тебе главное вбросить, а знать матчасть не нужно?

Кстати, если не нравятся современные тулкиты — можешь назвать какую-нибудь альтернативу им? Желательно такую, что на ней можно будет хотя бы в теории сделать i18n (т.е. не efl, Tk и уж ни в коем случае не Xt/Motif). Бонус — за хоть какие-то шаги в сторону a11y (которые в линуксах, емнип, сделаны только в Gtk+/Qt).

x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от x3al

Желательно такую, что на ней можно будет хотя бы в теории сделать i18n

В теории? Тогда, э-э-э... efl и Tk.

naryl ★★★★★ ()
Ответ на: комментарий от anonymous

Нафига? В кедах вся эта лапша и так уже предусмотрена.

Оно кривое, много багов.

Gicdillax ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.