Forum Debian Users Gang

tajwan napisał(-a):

Ja mam chromium i mam normalnego flasha

Cieszymy się razem z tobą, ale napisz jeszcze, co ma piernik do wiatraka... xD

Pavlo950 napisał(-a):

Bo normalnie działa, jest chyba bezpieczniejsze (o ile Google nie namieszało), nie trzeba kombinować z jakimiś dziwnymi aktualizacjami XD

Bezpieczeństwo? Plugin-container nie potrzebuje bitu SUID i praw roota,
a robi praktycznie to samo, co chrome-sandbox.
Podobnie operapluginwrapper, też nie potrzebuje wskakiwać na prawa roota.

Chrome i Chromium, to jedyne przeglądarki na Linuxa,  które potrzebują dostępu na konto root.
Wpuszczanie przeglądarki na taki poziom systemu, to ewidentne proszenie się o kłopoty.

Dowód rzeczowy:

ls -l /opt/google/chrome-beta/chrome-sandbox 
-rws--x--x 1 root root 14544 03-26 11:25 /opt/google/chrome-beta/chrome-sandbox

Pozdro

Ostatnio edytowany przez Jacekalex (2015-05-23 11:38:25)

Pogódź się z tym, że programista aplikacji może mieć większe możliwości jej zabezpieczenia (co niestety nie znaczy, że zawsze z nich korzysta) i izolacji niż Ty jako użytkownik/administrator.

Kiepsko trafiłeś, ten aspekt mnie średnio obchodzi, każdy programista może się pomylić,  jak pokazuje praktyka, też dołożyć coś w typie heartbleed.

Plugin container ma chronić tylko wtedy, gdy błąd bezpieczeństwa we wtyczce np. flashu jest wykorzystany i szkodliwy kod jest uruchomiony w procesie tej wtyczki. Sandbox w Chrome chroni również, gdy kod dostanie się przez błąd w np. parserze strony HTML, silniku Javascript itd i złośliwy kod jest w tym procesie.

Od takich zagrożeń, w Linuxie w tej chwili są co najmniej 3 mechanizmy obronne, z których co najmniej jeden  mogą być włączony domyślnie w każdej dystrybucji Linuxa, czyli SELinux, Apparmor albo Tomoyo.

Zaleta Chrome polega na otwieraniu każdej karty jako osobnego procesu/wątku.
W Firefoxie dopiero próbują to wprowadzić, ale na przeszkodzie stoi kilka tyś wtyczek.

Przy czym do Firefoxa i Chromium mamy źródełka całej przeglądarki, czego o Chrome i Operze  nie można powiedzieć.

Ostatnio edytowany przez Jacekalex (2015-05-23 12:19:00)

uzytkownikubunt napisał(-a):

Jacekalex napisał(-a):

Kiepsko trafiłeś, ten aspekt mnie średnio obchodzi, każdy programista może się pomylić,  jak pokazuje praktyka, też dołożyć coś w typie heartbleed.

Powinien każdy aspekt obchodzić skoro wypowiadasz się o bezpieczeństwie przeglądarek. Poza tym programiści mogą zabezpieczyć aplikację na poziomie projektowania jej architektury, a nie tylko przez poprawne implementacje zgodne z dobrym praktykami i w Chrome tak zrobiono.
Załóżmy, że w jądrze jest błąd bezpieczeństwa i atakujący napisał eksploit, który obchodzi techniki ochronne Paxa/Grsecurity. W jaki sposób chcesz się przed tym zabezpieczyć Apparmorem? Pytanie retoryczne. A seccompem w części przypadków się da.

Grsec/Pax ma tą żadką zaletę, ze exploity które obchodzą te zabezpieczenia, są aktualne zazwyczaj przez 2 - 4 tygodnie, te, które obchodzą standardowe zabezpieczenia Linuxa są aktualne od 2 tygodni do 3 miesięcy.

Także znowu trafiłeś kulą w płot.

Natomiast aplikacja, która potrzebuje praw roota, zawsze jest potencjalnie dużym zagrożeniem, gdyż w standardowym systemie, kiedy pojawi się w niej luka, to nie ma już bariery chroniącej przed przejęciem przez atakującego kontroli nad systemem.

W przypadku programu działającego w przestrzeni użytkownika, a nie roota, nie ma możności przejęcia kontroli nad standardowym Linuxem, natomiast systemy ACL czy łatki w typie Grsec nie tworzą nowej jakości, tylko rozszerzają odporność na zagrożenia standardowego Linuxa.

Smutnym faktem jest, ze chociaż w Linuxie są takie drobiazgi jak Apparmor, SElinux czy Tomoyo, w Debianie instalując Chromium z repo czy Chrome z paczki, nie ma w systemie profilu ACL dla takiego programu, choć zrobienie, go i dodanie do standardowej dystrybucji, to żaden problem.

1961

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:18:20)

1987

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:18:55)

Ja zacząłem ostatnio używać:

https://wiki.debian.org/Freshplayerplugin

uzytkownikubunt napisał(-a):

Znów aktualizacja zaraz po Microsoftowym Patch Tuesdayu. Jak już mówiłem dodałem repo Ubuntu do Debiana.

Kod:

root@debian:/home/jessie# dpkg -l | grep flashplugin
ii  flashplugin-installer                 11.2.202.466ubuntu0.14.04.1          amd64        Adobe Flash Player plugin installer

Repozytorium Ubuntu plus ustawione piny i wygoda, bo nie trzeba specjalnie pamiętać, aktualizacja idzie razem z innymi pakietami :)

apt-cache policy adobe-flashplugin
adobe-flashplugin:
  Zainstalowana: 1:20150609.1-0wily1
  Kandydująca:   1:20150609.1-0wily1
  Tabela wersji:
 *** 1:20150609.1-0wily1 0 

Shockwave Flash

    File: libflashplayer.so
    Path: /usr/lib/adobe-flashplugin/libflashplayer.so
    Version: 11.2.202.466
    State: Enabled
    Shockwave Flash 11.2 r202

Cześć. Mati pisząc, że: "na grafice nvidii nie działa", rozwiałeś moją wszelką nadzieję na jakiekolwiek testy Freshplayerplugin, wszakże korzystam właśnie z siódmej generacji kart graficznych z serii GeForce. Pozostaje mieć nadzieję, że w przyszłości zmieni się, to w sensie pozytywnym. Niemniej, może podejmę się przeprowadzenia własnych testów, bowiem nie określiłeś dokładnie jakiej karty nVidii używasz :- )

Pozdrawiam serdecznie, i dziękuję za informacje.

Mam drobne pytanie... co się stało z Flashem? Nie umiem go zaktualizować ani przez

apt-get update
apt-get dist uprgrade

ani metodą:

p75@toshiba:~$ sudo su
[sudo] password for p75: 
root@toshiba:/home/p75# sudo /usr/sbin/update-flashplugin-nonfree --install
--2015-06-23 12:59:26--  https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
Translacja fpdownload.adobe.com (fpdownload.adobe.com)... 23.64.217.92
Łączenie się z fpdownload.adobe.com (fpdownload.adobe.com)|23.64.217.92|:443... połączono.
BŁĄD: Żaden certyfikat nie został przedstawiony przez `fpdownload.adobe.com'.
BŁĄD: Certyfikat `fpdownload.adobe.com' nie ma znanego wystawcy.
ERROR: wget failed to download https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
More information might be available at:
  http://wiki.debian.org/FlashPlayer

oraz metodą podaną w linku z terminala:

root@toshiba:/home/p75# update-flashplugin-nonfree --install
--2015-06-23 13:07:10--  https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
Translacja fpdownload.adobe.com (fpdownload.adobe.com)... 23.64.217.92
Łączenie się z fpdownload.adobe.com (fpdownload.adobe.com)|23.64.217.92|:443... połączono.
BŁĄD: Żaden certyfikat nie został przedstawiony przez `fpdownload.adobe.com'.
BŁĄD: Certyfikat `fpdownload.adobe.com' nie ma znanego wystawcy.
ERROR: wget failed to download https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
More information might be available at:
  http://wiki.debian.org/FlashPlayer

Jeszcze siedzę na Debian Sid ale przejdę na Jessie chyba bo widzę coś się zkaszaniło :/

Ostatnio edytowany przez neo86 (2015-06-23 13:08:27)

yossarian napisał(-a):

Flash nie jest częścią Debiana.
Czytaj komunikaty.
Poza tym SOA#1:

Kod:

--2015-06-23 12:08:57--  https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
Resolving fpdownload.adobe.com (fpdownload.adobe.com)... 72.247.82.41
Connecting to fpdownload.adobe.com (fpdownload.adobe.com)|72.247.82.41|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 7246913 (6.9M) [application/x-gzip]
Saving to: ‘/tmp/flashplugin-nonfree.JoBoy1CUmT/install_flash_player_11_linux.x86_64.tar.gz’

To jak go zaktualizować? To samo będzie w Jessie? Jak teraz flash się aktualizuje? Wytłumacz mi (najlepiej krok po kroku bo zmęczony jestem po pracy) bo nie rozumiem a nie chcę wracać po 5 latach do durnego Windowsa z powodu głupiego flasha. Ja go może mniej potrzebuję ale moja mama bardzo go potrzebuje bo bez gier we Flashu na NK i "Fejsie" żyć nie może :/

Ostatnio edytowany przez neo86 (2015-06-23 13:19:27)

mati75 napisał(-a):

Sprawdź czy pobiera ci plik:

Kod:

wget https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz

p75@toshiba:~$ wget https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
--2015-06-23 16:55:16--  https://fpdownload.adobe.com/get/flashplayer/pdc/11.2.202.466/install_flash_player_11_linux.x86_64.tar.gz
Translacja fpdownload.adobe.com (fpdownload.adobe.com)... 23.64.217.92
Łączenie się z fpdownload.adobe.com (fpdownload.adobe.com)|23.64.217.92|:443... połączono.
BŁĄD: Żaden certyfikat nie został przedstawiony przez `fpdownload.adobe.com'.
BŁĄD: Certyfikat `fpdownload.adobe.com' nie ma znanego wystawcy.
p75@toshiba:~$

Niet... kurcze chyba ta kaszanka zmusi mnie do męki w ponowną instalację Debiana ale tym razem już Jessie bo wystarczająco dobry już jest do mojego laptopa jednak z kernelem aptosida 4.0 bo świetnie się sprawuje. Ale jak w Jessiem jest z Flashem tego nie sprawdzałem. Zaczyna mnie to martwić. Nie mam siły się męczyć z laptopem ale będę zmuszony do tego z dwoma bo u mamy w laptopie też Flash padł (ma jeszcze Debian Wheezy) i też taki sam wynik jest tej metody aktualizacji którą do tej pory co tydzień stosowałem w Sidzie (od jakoś lipca 2014 roku) i nigdy problemu nie było (do dzisiaj).

Z tego co widzę czepia się jakiś certyfikatów. Yhm jakieś 2 tygodnie temu jakoś się nie czepiał o co biega z tymi certyfikatami? Co Panowie z Adobe zmajstrowali?

Nie wiem czy podawałem interesuje mnie tylko rozwiązanie Flash dla Iceweasel (Wersja 38.0.1). Chrome/Chromium nie chcę bo tam dla odmiany Java nie działa (a na pewnych stronach mi potrzebna).

Kiedy wpisałem w przeglądarce

about:plugins

to w miejsce Flasha wlazło takie coś:

OpenH264 Video Codec dostarczony przez Cisco Systems, Inc.

    Plik: 1.1
    Ścieżka: /home/p75/.mozilla/firefox/tw24g679.default/gmp-gmpopenh264/1.1
    Wersja: 1.1
    Stan: Wyłączony
    Pozwala odtwarzać wideo na stronach oraz prowadzić rozmowy wideo.

Natomiast o Flashu nie ma wzmianki jakby w ogóle nie był zainstalowany... ale jest! Jako flashplugin-nonfree w wersji 1:3.6.1

Ostatnio edytowany przez neo86 (2015-06-23 17:23:05)