Adobe Flash Player и безопасность Linux-десктопов. Какие есть варианты?

[john1400]

Ставить Iron - менять шило на мыло. Тот же хром, тоже шпионит.

Что то не понял, как заразить систему например бэкдором через браузер от обычного юзера
ведь чтоб в / что нибудь записать нужен пароль рута, так ведь

браузер тока ласты склеит, но никак не система.

[ArcFi]

john1400, для получения доступа к файлам юзера и попадания в его автозагрузку обычно достаточно прав этого юзера.
Дальше веселее... %)
Можно подменить desktop-файл запуска любого приложения, например, приложения, которое требует прав суперпользователя.
Кушаем пароль, зачищаем следы подмены и встраиваемся в систему.

[peregrine]

john1400, можно, если найдёшь уязвимость. Самый примитивный вариант атаки - в хомяка сажаешь скриптик-шпион, который вписываешь в автозапуск (для этого не надо быть рутом). Вот только найти его будет проще простого.

[john1400]

и что тогда делать  всё решето, получается ?

лично я боюсь только творение злого гения Skype
ну и немножко Chrome

[alsoijw]

Как я понял хромиум не шпионит? Тогда зачем говорить про хром? Разве его можно поставить на убунте?

[peregrine]

alsoijw, конечно можно.

[alsoijw]

поставить в вайне или напрямую?

[peregrine]

alsoijw, хром нативный, без вайна.

[Rosenfeld]

Давайте попросим программистов создать программу работающую как песочницу

Вместо всяких Selinux можно использовать более простое решение

Можно оформить в виде скрипта.

Есть такая вещь, как WINE. Добрые люди сделали плагин для браузеров под названием pipelight. Он ставит виндовый флеш и Silverlight с поддержкой DRM из винды под Linux. Недостатки в безопасности - WINE, сам флеш и Silverlight.

Даже можете на меня не обижаться вдогонку, ибо я завтра уезжаю плавать в море примерно на месяц. Но я не об этом, а просто констатирую факт: сколько реальных ИДИОТОВ обсуждает ИДИОТИЧЕСКИЕ вещи (и генерирует их) вместо того, чтобы осуществить нормальные, адекватные вещи "из коробки". Вперед, друзья мои, вперед! А я поехал отдыхать.

[peregrine]

Rosenfeld, счастливого пути, удачно отдохнуть на море.

[Rosenfeld]

Спасибо, дружище.

[Vadim Volos]

По поводу хрома он давно выпускается под убунуту
http://www.google.com.ua/intl/uk/chrome/
в хроме есть встроенный плеер Adobe Flash Player Версия: 12.0.0.44
это можно увидеть, ввести в хроме chrome://plugins/
Все работает все отлично, не замечал проблем с флешем.

Но вот сервис для просмотра фильмов (megogo.net) показывает тоже хорошо
но для фильмов по подписке оказалось что нужна версия плеера 11.5 и выше
несмотря на то что в хроме версия 12, фильмы не хотят воспроизводится

Ubunyu 13.10 x64

[soarin]

Vadim Volos,
Может drm там. http://helpx.adobe.com/x-productkb/multi/flash-player-11-problems-playing.html

[rumit]

apparmor
допинываем в армор apparmor-profiles ну и можно apparmor-utils

Код: [Выделить]

sudo apparmor_status

(Нажмите, чтобы показать/скрыть)

apparmor module is loaded.
83 profiles are loaded.
83 profiles are in enforce mode.
   /bin/netstat
   /bin/ping
   /sbin/dhclient
   /sbin/dhcpcd
   /sbin/klogd
   /sbin/portmap
   /sbin/syslog-ng
   /sbin/syslogd
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/bin/passwd
   /usr/bin/skype
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/chromium-browser/chromium-browser
   /usr/lib/chromium-browser/chromium-browser//browser_java
   /usr/lib/chromium-browser/chromium-browser//browser_openjdk
   /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
   /usr/lib/chromium-browser/chromium-browser//sanitized_helper
   /usr/lib/chromium-browser/chromium-browser//xdgsettings
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/dovecot/deliver
   /usr/lib/dovecot/dovecot-auth
   /usr/lib/dovecot/imap
   /usr/lib/dovecot/imap-login
   /usr/lib/dovecot/managesieve-login
   /usr/lib/dovecot/pop3
   /usr/lib/dovecot/pop3-login
   /usr/lib/firefox/firefox{,*[^s][^h]}
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
   /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
   /usr/lib/firefox/mozilla-xremote-client
   /usr/lib/firefox{,-[0-9]*}/firefox{,*[^s][^h]}
   /usr/lib/lightdm/lightdm/lightdm-guest-session-wrapper
   /usr/lib/lightdm/lightdm/lightdm-guest-session-wrapper//chromium_browser
   /usr/sbin/avahi-daemon
   /usr/sbin/cupsd
   /usr/sbin/dhcpd
   /usr/sbin/dnsmasq
   /usr/sbin/dovecot
   /usr/sbin/httpd2-prefork
   /usr/sbin/httpd2-prefork//DEFAULT_URI
   /usr/sbin/httpd2-prefork//HANDLING_UNTRUSTED_INPUT
   /usr/sbin/identd
   /usr/sbin/imapd
   /usr/sbin/in.fingerd
   /usr/sbin/in.ftpd
   /usr/sbin/in.ntalkd
   /usr/sbin/ipop2d
   /usr/sbin/ipop3d
   /usr/sbin/lighttpd
   /usr/sbin/mdnsd
   /usr/sbin/nmbd
   /usr/sbin/nscd
   /usr/sbin/oidentd
   /usr/sbin/popper
   /usr/sbin/postalias
   /usr/sbin/postdrop
   /usr/sbin/postmap
   /usr/sbin/postqueue
   /usr/sbin/rsyslogd
   /usr/sbin/sendmail
   /usr/sbin/sendmail.postfix
   /usr/sbin/sendmail.sendmail
   /usr/sbin/smbd
   /usr/sbin/spamd
   /usr/sbin/squid
   /usr/sbin/sshd
   /usr/sbin/sshd//AUTHENTICATED
   /usr/sbin/sshd//EXEC
   /usr/sbin/sshd//PRIVSEP
   /usr/sbin/sshd//PRIVSEP_MONITOR
   /usr/sbin/tcpdump
   /usr/sbin/useradd
   /usr/sbin/userdel
   /usr/sbin/vsftpd
   /usr/sbin/xinetd
   /usr/{sbin/traceroute,bin/traceroute.db}
0 profiles are in complain mode.
4 processes have profiles defined.
4 processes are in enforce mode.
   /sbin/dhclient (1385)
   /usr/lib/firefox/firefox{,*[^s][^h]} (2146)
   /usr/sbin/cupsd (1076)
   /usr/sbin/rsyslogd (886)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

потом перевод всех профилей в режим ограничений:

Код: [Выделить]

sudo aa-enforce /etc/apparmor.d/*и перезагрузка всех профилей

Код: [Выделить]

sudo /etc/init.d/apparmor reloadпереззагруз компа
там есть защита и фирэфоха и хромиума

Код: [Выделить]

   /usr/lib/chromium-browser/chromium-browser
   /usr/lib/chromium-browser/chromium-browser//browser_java
   /usr/lib/chromium-browser/chromium-browser//browser_openjdk
   /usr/lib/chromium-browser/chromium-browser//chromium_browser_sandbox
   /usr/lib/chromium-browser/chromium-browser//sanitized_helper
   /usr/lib/chromium-browser/chromium-browser//xdgsettings


   /usr/lib/firefox/firefox{,*[^s][^h]}
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_java
   /usr/lib/firefox/firefox{,*[^s][^h]}//browser_openjdk
   /usr/lib/firefox/firefox{,*[^s][^h]}//sanitized_helper
   /usr/lib/firefox/mozilla-xremote-client


и усложняй как только можно

https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/apparmor