LINUX.ORG.RU

Выпуск безопасного screensaver'а от Google

 ,


1

2

Тихо и незаметно Google опубликовал исходный код нового хранителя экрана xsecurelock под лицензией Apache 2.0. xsecurelock - хранитель экрана для X-сервера, ориентированный на безопасность. Последняя достигается путем использования модульной архитектуры, чтобы избежать типичные уловки для обхода стандартных хранителей экрана. Также отличительной особенностью данного проекта является минимальная зависимость от компонентов в системе.

Текущие возможности:

  • Использование в качестве методов авторизации PAM - модуль, основанный на возможностях X11, auth_pam_x11 (рекомендуется разработчиками), и использующий pamtester (auth_pamtester).
  • Заставки: пустой экран (saver_blank), проигрывание видео из директории ~/Videos средствами видеоплеера (модули saver_mplayer и saver_mpv), заставка, согласно настройкам XScreenSaver'а (модуль saver_xscreensaver).
  • Простота и прозрачность создания собственного метода авторизации и заставки.

Для обеспечения максимальной безопасности хранителя экрана используются ряд методов, например:

  • Авторизация и блокировка экрана вынесены в отдельные процессы, поэтому падение одного из процессов не вызовет разблокировку экрана.
  • Основной процесс минимален и использует только возможности C, POSIX и X11, что уменьшает зависимость от ошибок в используемых библиотеках а также упрощает аудит кода.
  • Вынос основного окна на передний план во избежание попадания, например, уведомлений поверх хранителя экрана. Автоматическое изменение размера основного окна, необходимое, например, при подключении второго монитора при запущенном хранителе экрана.
  • Единственным способом завершения является положительный ответ модуля аутентификации (0), при котором xsecurelock также вернет 0. Поэтому хронические параноики могут использовать следующий способ запуска:
    sh -c "xsecurelock ... || kill -9 -1"

На текущий момент не существует стабильных релизов xsecurelock, желающим предлагается использовать исходный код, опубликованный на GitHub (для пользователей Archlinux доступен также пакет в AUR) (инструкция). Сейчас проводится стабилизация кода, первый стабильный релиз планируется подготовить в течение месяца.

К стабильному релизу планируется:

  • Расширить возможности авторизации (например, для ряда особых случаев с PAM).
  • Увеличить количество поддерживаемых заставок «из коробки».
  • Добавить *.desktop файлы для ряда «типичных» конфигураций.
  • Добавить интерфейс настройки и авторизации, написанный с использованием тулкита Gtk (отдаленное будущее).

>>> Подробности

★★★★

Проверено: fallout4all ()

Ответ на: комментарий от x3al
Сейчас любая гуевая программа, удалённо запущенная с любого хоста независимо от прав может:

    прослушать пароль в любом скринсейвере (да и не только скринсейвера), включая сабж. Нерешаемо в рамках X11-серверов by design
    минимизировать/ресайзить/закрыть окно любого скринсейвера

Смелое заявление. Доказательства есть?

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Ответа на вопрос о дырах в Xorg так и нет

А какой смысл в ответе на вопрос «кто находил дыры»? Ну, я находил, дальше что?

Ostegard ()
Ответ на: комментарий от x3al

Запусти xspy удалённо и проверь.

Запустил. В его stdout появляется только то, что приходит ему в stdin. ЧЯДНТ?

dexpl ★★★★★ ()
Ответ на: комментарий от x3al

OK, верю, ssh -X guest@localhost xspy дает искомый результат. Локальный xspy результата не дает (не подскажешь, почему?).

dexpl ★★★★★ ()
Ответ на: комментарий от Ostegard

На гугле не разговариваешь?

Доказывает утверждающий, коим в данном случае являешься ты.

Критическая уязвимость в Xorg 1.11

└► X -version

X.Org X Server 1.14.4
Release Date: 2013-10-31
X Protocol Version 11, Revision 0
Build Operating System:  3.14.3-200.fc20.x86_64 
Current Operating System: Linux dexpl.dexpl 3.14.9-200.fc20.x86_64 #1 SMP Thu Jun 26 21:40:51 UTC 2014 x86_64
Kernel command line: BOOT_IMAGE=/boot/vmlinuz-3.14.9-200.fc20.x86_64 root=/dev/mapper/nu-lv_root ro rd.md=0 rd.dm=0 vconsole.keymap=us rd.luks=0 vconsole.font=latarcyrheb-sun16 rd.lvm.lv=nu/lv_swap rd.lvm.lv=nu/lv_root net.ifnames=0 ipv6.disable=1 audit=0 LANG=ru_RU.UTF-8
Build Date: 27 June 2014  01:35:28AM
Build ID: xorg-x11-server 1.14.4-11.fc20 
Current version of pixman: 0.30.0
	Before reporting problems, check http://wiki.x.org
	to make sure that you have the latest version.

http://htf.net.ua/news/lokalnaya-root-uyazvimost-v-xorg

└► xrdb -version
xrdb 1.1.0

Что-нибудь посвежее есть? Желательно, до сих пор не устраненное.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Что-нибудь посвежее есть? Желательно, до сих пор не устраненное.

Зачем? Хочешь доказать мне не неправоту невысказанных мной утверждений?

Ostegard ()
Ответ на: комментарий от dexpl

Ну да, дырки бывают только свежие и не устранённые. Конечно же! Всё остальное не дырки — они были закрыты и новых появиться не может. Давайте будем верить гуглю и не верить в существование дырок в X.org! Да откуда в X.org дырки — их там нет и появиться они не могут! Wait! OH SHI~

Ostegard ()
Ответ на: комментарий от Ostegard

Вы, батенька, чьим виртуалом быть изволите? Какой-то узнаваемый тупняк.

aidan ★★★★ ()
Ответ на: комментарий от Ostegard

Всё остальное не дырки — они были закрыты

Именно.

и новых появиться не может

Откуда вывод?

Давайте будем верить гуглю и не верить в существование дырок в X.org!

Верь хоть в Магомета, хоть в Аллаха, хоть в Иисуса. Только не удивляйся тому, что другие не разделят твою веру и попросят доказательств.

dexpl ★★★★★ ()
Ответ на: комментарий от Ostegard

OK, докажи, что в Xorg нет дырок.

Еще раз — доказывает утверждающий. Утверждаешь наличие дырок ты. Тебе и доказывать.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Утверждаешь наличие дырок ты. Тебе и доказывать.

Я тебе две ссылки привёл о наличии дырок.

А то что они несвежие - я и не писал, что они свежие и незакрытые, это ты сам себе придумал. Ну и молодец, придумывай дальше, я с твоими воображаемыми аргументами спорить не буду.

Ostegard ()
Ответ на: комментарий от LinuxDebian

Т.е. если о дырках пишут только после их патченья, то их и нет и никто ими воспользоваться не может? Предлагаю подумать, почему ты неправ.

anonymous ()
Ответ на: комментарий от anonymous

Давай расскажи мне насколько этот высер гугла содержит меньше дыр и более стабилен чем прога которую дебажили и тестировали 30 лет...

LinuxDebian ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.