Re: The Linux Security Circus: On GUI isolation
On 13:31 Thu 23 Jun , Stanislav Maslovski wrote: По дефолту может (как и в той же винде, впрочем). Не cможет, если sensitive app позовет XGrabKeyboard(). В меню xterm (Сtrl+LeftButton) есть пукт Secure keyboard. Запускаю 2 xterm`а рядом, в первом $ xinput test 10 во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом. Так что похоже не работает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110624124009.GB19345@debhm
Re: The Linux Security Circus: On GUI isolation
On Птн, 2011-06-24 at 18:40 +0600, Alexander Aksarin wrote: On 13:31 Thu 23 Jun , Stanislav Maslovski wrote: По дефолту может (как и в той же винде, впрочем). Не cможет, если sensitive app позовет XGrabKeyboard(). В меню xterm (Сtrl+LeftButton) есть пукт Secure keyboard. Запускаю 2 xterm`а рядом, в первом $ xinput test 10 во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом. Так что похоже не работает. Мм, да, против этого лома, похоже, нет приема: xinput перехватывает ввод прямо с драйвера, а XGrabKeyboard() влияет только на получение более высокоуровневых событий ввода. Жаловаться можно, например, сюда: https://bugs.freedesktop.org/show_bug.cgi?id=38517 -- Stanislav
Re: The Linux Security Circus: On GUI isolation
On Fri, Jun 24, 2011 at 02:08:28PM +0100, Stanislav Maslovski wrote: По дефолту может (как и в той же винде, впрочем). Не cможет, если sensitive app позовет XGrabKeyboard(). В меню xterm (Сtrl+LeftButton) есть пукт Secure keyboard. Запускаю 2 xterm`а рядом, в первом $ xinput test 10 во втором включаю secure keyboard, ввожу что нибудь и вижу сканкоды в первом. Так что похоже не работает. Мм, да, против этого лома, похоже, нет приема: xinput перехватывает ввод прямо с драйвера, а XGrabKeyboard() влияет только на получение более высокоуровневых событий ввода. Жаловаться можно, например, сюда: https://bugs.freedesktop.org/show_bug.cgi?id=38517 У рута есть ещё evtest. -- WBR, wRAR signature.asc Description: Digital signature
The Linux Security Circus: On GUI isolation
Здравствуйте. Прочитал интересную статью про безопасноть X-сервера. http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110623083917.GA14863@debhm
Re: The Linux Security Circus: On GUI isolation
Здравствуйте. Прочитал интересную статью про безопасноть X-сервера. http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Да. Если ты запускаешь что попало в своем X-сервере, то лучше просто знать, что кто угодно может что угодно, чем не знать. Поскольку для работы им все равно нужно мочь. Не с клавиатуры, так из selection, но нужно. -- Танк - это не фаллический символ. Он просто _едет_... (С)энта -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87sjr0sxll.wl%...@ran.pp.ru
Re: The Linux Security Circus: On GUI isolation
On Thu, Jun 23, 2011 at 02:39:17PM +0600, Alexander Aksarin wrote: Здравствуйте. Прочитал интересную статью про безопасноть X-сервера. http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? По дефолту может (как и в той же винде, впрочем). Не cможет, если sensitive app позовет XGrabKeyboard(). В меню xterm (Сtrl+LeftButton) есть пукт Secure keyboard. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110623093150.GA30581@kaiba.homelan
Re: The Linux Security Circus: On GUI isolation
23.06.2011 12:31, Artem Chuprina пишет: Здравствуйте. Прочитал интересную статью про безопасноть X-сервера. http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Да. Если ты запускаешь что попало в своем X-сервере, то лучше просто знать, что кто угодно может что угодно, чем не знать. Поскольку для работы им все равно нужно мочь. Не с клавиатуры, так из selection, но нужно. Очень удобно, что клавиатурный сниффер уже включен в дистрибутив ;) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e030b11.2070...@gmail.com
Re: The Linux Security Circus: On GUI isolation
http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям? Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то доступ? По вашему мнению, есть какие-то приложения, что нуждаются в Х сервировке? Если есть, то можно ли запретить пользование Х консолем в таком случае? И будет ли это примитивным решением вышеуказанной проблемы безопасности?
Re: The Linux Security Circus: On GUI isolation
23.06.2011 13:52, duk пишет: http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям? Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то доступ? Это уж вам виднее ;) Странная постановка вопроса. У всех задачи разные По вашему мнению, есть какие-то приложения, что нуждаются в Х сервировке? chromium-browser например Если есть, то можно ли запретить пользование Х консолем в таком случае? И будет ли это примитивным решением вышеуказанной проблемы безопасности? Пользуясь этой фичей, администратор системы может спокойно тырить пользовательские пароли. Не все же серфят lynx'ом из xterm'а ;) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e032414.1050...@gmail.com
Re: The Linux Security Circus: On GUI isolation
http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям? Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то доступ? Это уж вам виднее ;) Странная постановка вопроса. У всех задачи разные По вашему мнению, есть какие-то приложения, что нуждаются в Х сервировке? chromium-browser например Если есть, то можно ли запретить пользование Х консолем в таком случае? И будет ли это примитивным решением вышеуказанной проблемы безопасности? Пользуясь этой фичей, администратор системы может спокойно тырить пользовательские пароли. Не все же серфят lynx'ом из xterm'а ;) Администратор может тырить пользовательские пароли и пользуясь массой других фич. Начиная с возможности спокойно читать память любого процесса. -- на вопрос как дела? отвечать 304 Not Modified -- http://bash.org.ru/quote/20466 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87oc1osne5.wl%...@ran.pp.ru
Re: The Linux Security Circus: On GUI isolation
On 23.06.2011 19:11, Artem Chuprina wrote: http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html Проверил, у меня работает, как описано. Это получается что любая прога в рамках запущенного X-сервера может слушать что я ввожу. Только мне кажется это огромной дырой в безопасности? Не желаю офтопить, но такой вопрос, на гуя мне выделять Х другим пользователям? Серьёзно, для каких целей я поставлю Х-сервер на линию и дам кому-то доступ? Это уж вам виднее ;) Странная постановка вопроса. У всех задачи разные По вашему мнению, есть какие-то приложения, что нуждаются в Х сервировке? chromium-browser например Если есть, то можно ли запретить пользование Х консолем в таком случае? И будет ли это примитивным решением вышеуказанной проблемы безопасности? Пользуясь этой фичей, администратор системы может спокойно тырить пользовательские пароли. Не все же серфят lynx'ом из xterm'а ;) Администратор может тырить пользовательские пароли и пользуясь массой других фич. Начиная с возможности спокойно читать память любого процесса. Наверное, всё-таки, заканчивая этим ) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e0341ed.9040...@gmail.com