snap软件包在带有X11的Ubuntu中并不安全
来源:互联网 发布:js悬浮层的隐藏与显示 编辑:程序博客网 时间:2024/06/04 19:00
snap 软件包格式用来设计配合 Canonical 的新一代显示服务器 Mir 协同工作,它默认用在 Ubunut Touch 移动操作系统上,支持 Ubuntu 电话,以及新的 Ubuntu 平板: BQ Aquaris M10 Ubuntu 版,以给用户提供一流的安全性。
通过在 Ubuntu 桌面版和 Ubuntu 服务器版中支持安装 snap 软件包,Canonical 在给 Ubuntu 用户及时地提供软件更新方面取得了长足进展。Mozilla 是第一个在 Ubuntu 上以 snap 软件包格式提供软件的厂商,估计今年稍晚时候就会提供 Firefox 的 snap 包。
据著名的 CoreOS 安全开发者及 Linux 内核贡献者 Matthew Garrett 称, Canonical 的新式 snap 软件包格式用在 X.Org 服务器(X11 Window 系统)下很不安全,而 X11 目前仍旧是 Ubuntu 16.04 LTS 的默认显示服务器。
这个问题本质上是由于 X11 的古老设计,众所周知它在安全性上很差。Matthew Garrett 制作了一个简单的 snap 软件包来演示这个问题,它可以做到从其它的 X11 软件中偷取数据,比如可以获取你在 Mozilla Firefox 浏览器中输入的内容。
到目前为止,snap 格式还没流行起来,特别是因为目前只有很少的软件包支持这种格式。但是这也许不久就会改变,越来越多的开发者会以 snap 格式提供他们的软件,所以 Canonical 需要为使用 X11 的 Ubuntu 的安全性做些工作。
这也是为何大多数 GNU/Linux 发行版应该尽快切换到 Wayland 或 Mir 显示服务器的另外一个原因,尤其是现在的大多数桌面环境(如 GNOME 和 KDE)都支持它们了。不过,从另外一方面说,这个 snap 的安全问题不会影响到 Ubuntu 服务器操作系统,因为它根本没有显示服务器。
我们按照 Mr. Garrett 的指导,在一个最新更新的 Ubuntu 16.04 LTS 的机器上使用 Snapcraft 创建了 xevilteddy 的 snap 包。成功的创建了 snap 并安装之后,我们确认,当你看到如下的截屏时,这表明 xevilteddy 应用可以偷取你在另外一个 X11 应用中输入的任何内容,也能够使用 curl 将你的 SSH 密钥发送到远程的站点去。
本文转载自:http://www.linuxprobe.com/snap-format-unsafe
免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/
- snap软件包在带有X11的Ubuntu中并不安全
- Ubuntu 16.04 LTS如何使用Snap软件包
- 如何利用LXD来在不同的Ubuntu桌面环境中编译我们的snap
- 在Ubuntu系统中安装RPM格式软件包的方法
- 在Ubuntu系统中安装RPM格式软件包的方法
- 在Ubuntu系统中安装RPM格式软件包的方法
- 在Ubuntu系统中安装RPM格式软件包的方法
- 在Ubuntu系统中安装RPM格式软件包的方法
- 在debian/ubuntu中查询软件包的依赖关系
- 如何在Ubuntu中查找自己安装的软件包
- 如何在Snap包中定义全局的plug
- qt4.8 x11版本在linux-ubuntu下的安装
- Ubuntu中鼠标部分的配置/etc/X11/xorg.conf
- ubuntu中安装rpm格式的软件包
- ubuntu中安装rpm格式的软件包
- ubuntu中安装rpm格式的软件包
- Ubuntu中deb软件包的安装方法
- ubuntu中安装rpm格式的软件包
- 亡命逃窜 nyoj 523
- 排序算法
- 设置MFC Dialog不允许用户鼠标移动窗口
- 结合一道面试题 看c语言运算符的执行顺序
- 神经网络编程入门
- snap软件包在带有X11的Ubuntu中并不安全
- NYOJ 745 蚂蚁的难题(二)
- 深入理解JVM03--判断对象是否存活(引用计数算法、可达性分析算法,最终判定),Eclipse设置GC日志输出,引用
- word2vec (四) 动手训练一个词向量空间
- 把首写字母大写,其他的字母小写
- Ubuntu常用软件安装列表(持续更新)
- 扯扯淡
- HDOJ 1251-统计难题【模板:字典树】
- 55. Jump Game