Stol trygt på dit repo ...

hehe - Tror det er bedre hvis du sletter din Linux, og istedet installerer en Windows.

Alternativt kan du lade lade være med at bruge din screensaver indtil problemet med X. Org er løst.

Eller naturligvis bruge fx Gnome 2 indtil dette Gnome 3 fungerer ordentligt.

Har været ved at prøve tricket på min Arch Linux og kan ikke få det til at virke. Når jeg trykker Ctrl+Alt+F10-F12 så får jeg bare en sort skærm fordi den forsøger at tilgå en TTY som ikke er aktiv.

Har dog ikke prøvet med keypad og det kan være det virker bedre. Det kan selvfølgelig også være at slock låser skærmen på sådan en måde at det ikke kan omgås af det her debug redskab (altså sørger for at deaktivere xorg genvejstaster)

dog skal vi jo lige huske at hvad dette beskytter imod er PRANKS, det er en lokal exploit, og vi snakker ikke engang som i en anden bruger logget ind på systemet, men en anden bruger FYSISK tilstede..

dette er et minimalt problem sammenlignet med praktisk talt alle andre sårbarheder.

Et midlertidigt fix:
1) Åbn filen /usr/share/X11/xkb/compat/xfree86 (som root)
2) Kommentér (//) linje 44-49 (altså dem der omhandler XF86_Ungrab og XF86_ClearGrab - Placeringen kan variere)
3) Kør setxkbmap dk (eller setxkbmap $(setxkbmap -query | grep layout | awk '{print $2}'}.

Fundet her: http://seclists.org/oss-sec/2012/q1/197

Så siger vi tak for det midlertidige fix der må være løsningen indtil Apple laver arbejdet på -stable.

Er her en naiv rest der stadig tror på sikre distributionsrepoer?

Diskussionen går ikke på om dist repoer er bedre eller værre end britney.naked.zip hentet på freestuff.ru. Den går på om dist repoer er sikre. Det er der vel ingen der vil påstå lige i dag? :p

#7: Den går på om dist repoer er sikre. Det er der vel ingen der vil påstå lige i dag

Det er der vel ingen der nogensinde har påstået? Al den stund at software som udgangspunkt ikke er 100% sikkert.

Men det handler mere om som #6 siger om repositorierne overordnet er mere sikkert end tilfældige downloads, og dét er de.

#5:
Og hvad er dit forslag til en alternativ og mere sikker løsning?

Det der er jo stråmandsskyderi. Der er ingen der kræver eller forventer 100% sikkert software. Vi snakker om hvorvidt software distribueret i repoer udgør en risiko. Altså: er repoet en angrebsvektor? Nu har vi lige set det igen. Inkompetence distribueres og opdages først efter måneder, ikke timer.

#qdosh
vi kunne jo starte med at acceptere tingenes tilstand?

#10: Altså: er repoet en angrebsvektor?

Jeg forstår ikke hvad du mener med at det udgør en angrebsvektor. Nu har jeg ikke læst artiklen minutiøst (har ikke tid) men så vidt jeg da kan læse har fejlen være i git allerede fra juni sidste år. Det er altså ikke noget specifikt i repo'et som er et problem, så jeg vil da mene at det kan koges ned til at softwaren i sig selv ikke er sikker, uanset hvor du henter det fra.

#marlar

angrebsvektoren består i den bundløse naivitet der hersker vedr. sikkerheden i dist repos. Folk tror de henter software der er tjekket af de mange øjne. Det er ikke ligefrem tilfældet her :p

Nej, det er altså forkert.
Den "angrebsvektor" du nævner er lige netop ikke bundet op på repo'et, men på udviklerne/open-source generelt.

Det er en "fejl" i open-source at normale brugere tror, at mange har kigget på koden, bare fordi det er muligt at gøre det.

Repo'et er bare en måde at levere den korrekte pakke på, så man netop eliminerer muligheden for, at en bruger ved en fejl henter firefox via et link på linuxin til OMGHAX0r.ru, hvor pakken i stedet er et rootkit. Denne sag har ikke ændret på det.

Du bestemmer selv hvad du installerer fra repo'erne, og hvilke programmer (og dermed udviklere) du stoler på.

#13: angrebsvektoren består i den bundløse naivitet der hersker vedr. sikkerheden i dist repos. Folk tror de henter software der er tjekket af de mange øjne. Det er ikke ligefrem tilfældet her :p

Det er sådanne indlæg der gør det svært at tage dig alvorligt. Du starter med at tale om browserene, mens det handler om en xorg fejl vedr. lokale brugere og screensavers, og på ingen måde om scams og malware fra repos.

Eller bare fra internettet ...

Du ved også at Linux er afhængig af brugernes fejlrettelser mere end MS og Apple, men alligevel bruger du det til at miskredittere programudviklerne med slet skjult henvisning til malware i repos.

Det er overordentligt morsomt, som provokatører ofte ender med at være.

oldgammelt problem, og nej der er ikke nogen nem loesning,, du flytter bare trust problemet.

Selvfølgelig er sw distributions kæden en angrebsvektor og en stor en af slagsen , jeg kan ikke se hvorfor lige netop denne bug får folk op af stolene.

Uanset hvor du får software fra vil der være bugs pga af bitre-dovne-dårlige programmører med en mængde forskellige aggendaer.

Du skal vælge hvem du vil stole på og kan så tænke over hvorfor og lade være nogensinde at forvente absolut sikkerhed.

#15: Det er overordentligt morsomt, som provokatører ofte ender med at være.+1

Åh hvad! En bug i Xorg. Linux platformen står foran sit sammenbrud!.. Jeg tror ærligt talt ikke at nogen havde forventet at alt software i repos var 100% frit for sikkerhedsbugs.

#14: Den "angrebsvektor" du nævner er lige netop ikke bundet op på repo'et, men på udviklerne/open-source generelt.

Det er en "fejl" i open-source at normale brugere tror, at mange har kigget på koden, bare fordi det er muligt at gøre det.

Jeg tror alle acceptere at accepterer at kode, også open source, har fejl. Hold nu op med at skyde jeres egne stråmænd ned. Det der "on trial" her er den fejlagtige antagelse at kode der distribueres via dist repos har opnået en særlig status som mere sikker, mere læst, særligt udvalgt osv.

Fejlen er opstået fordi der er opstået kommunikationsproblemer mellem distributionerne og upstream(Læs selv Daniel Stones udlægning) og fordi distributionerne ikke læser og forstår koden. Hvor svært kan det være at forstå sådanne helt elementære ting!?

#15: Det er sådanne indlæg der gør det svært at tage dig alvorligt. Du starter med at tale om browserene, mens det handler om en xorg fejl vedr. lokale brugere og screensavers, og på ingen måde om scams og malware fra repos.

Nøglen kunne jo være sarkasme? Hvis du endnu ikke har forstået det, så er den her tråd et angreb på dine sikkerhedsfilosofier. Du ved den der "repos er sikre, bare slet din browser cache". Jeg vil anbefale dig at læse og forstå dette. http://www.linuxin.dk/node/18932#comment-65486

Det er præcis hvad der er sket -igen-igen-igen. Ja undskyld mig, men jeg finder det utroligt morsomt at imens vi diskuterede det sidst, da har X været ramt af denne fejl. Det må være det ultimative argument for hvorfor repos ikke er til at stole på. Og nå ja, så er Jonathan Corbet også helt enig med mig. Se LWNs 2012 predictions.

The security mess will not go away, unfortunately. Our widespread code repositories and distribution sites present an attractive target to anybody wishing to compromise large numbers of machines. Targeted attacks against these sites can only increase, and some of them will be successful. Our community as a whole is going to have to learn to take security much more seriously. That is starting to happen in some projects, but not in others. With luck, we will not wake up one morning to learn that we have distributed trojaned code to vast numbers of users - but there is no guarantee that we will be so lucky.
http://lwn.net/Articles/473940/

#17: Åh hvad! En bug i Xorg. Linux platformen står foran sit sammenbrud!.

Det var synd at du ikke forstod at denne diskussion ikke handler om fejlens implikationer men hvorfor den er opstået.

#19: Nøglen kunne jo være sarkasme? Hvis du endnu ikke har forstået det, så er den her tråd et angreb på dine sikkerhedsfilosofier.

Mand - det fremgår jo allerede af første linje i dit oplæg. Hele oplægget, inklusiv ironien, er alligevel malplaceret IHT dit link.

Det jeg finder relevant, er naturligvis at ingen systemer er hundrede procent sikre, og at alle systemer har fejl. Det absolut fejlfri system eksisterer ganske enkelt ikke, men hvis du vil have held med sarkasme over for mig, så er det nødvendigt at du forholder dig til emnet.

Gør du til gengæld det, så er jeg da med på sådan noget.

Emnet her er falsk sikkerhed fra repos, ikke gamel travere om at intet er 100% sikkert.. Hvis du ikke kan forholde dig til det, så kan du oprette din egen tråd og lege i den.

#22: Hvis du ikke kan forholde dig til det, så kan du oprette din egen tråd og lege i den.

Hvis jeg nu finder det sjovere at lege med dig ;-)

Ligesom alle andre, inklusiv mig selv; skrives der noget forkert, så har vedkommende jo selv offentliggjort det, og i dette eksempel så er hele oplægget misvisende.

Bortset fra det, og gentaget endnu en gang, så er repos ikke fejlfri, og det er der jo ikke noget nyt i

#23: Bortset fra det, og gentaget endnu en gang, så er repos ikke fejlfri, og det er der jo ikke noget nyt i
Nå jamen så er du lige blevet uenig med dig selv. http://www.linuxin.dk/node/18932#comment-65647

Hvad mener du så Frogmaster. Kan man stole på store volatile kodebaser der hæmningsløst hældes i hovedet på brugerne?

Jeg skal da gerne være den første til at nedrunde min procentel af kode jeg har læst og forstået til 0% af den kode jeg har modtaget og godtaget fra mit dist repo. Jeg gætter på at vi er 0%ere alle herinde.

#24: Nå jamen så er du lige blevet uenig med dig selv

Det hænder, men ikke i dette tilfælde.

Hvis man ikke revidere sig selv, så lærer man jo ikke noget nyt. Det forudsætter imidlertid konsistens, og den kan jeg ikke få øje på her.

Der bliver tjekket for malware i repos, men som gentaget snart utallige gange, så beskytter det jo ikke imod utilsigtede bugs, hvilket ikke er noget nyt.

#25:
Hvad mener du så Frogmaster? Kan man stole på software hentet fra dist repos?

#26: Hvad mener du så Frogmaster? Kan man stole på software hentet fra dist repos?

Jammen det er jo allerede nævnt, og ikke kun af mig ... Det er principielt det samme vedr. Windows Update og Apples opdatering.

Der sker fejl alle steder.

ja det er en typisk fejlagtig antagelse at opensource kode automatisk er mere sikker.

Sagen er at noget kode er mere interessant for folk at se på end andet , og uanset hvem der kigger kan der ske fejl .

En anden fejlagtig antagelse ville være at bare fordi folk på et forum kan lide opensource stoler de blindt på alt deres kode og du er den eneste der har set lyset og er skeptisk nok.

Du gætter forkert, jeg har læst kode fra mit mirror ca 0.00000000000000001% at det tilgængelige kode, omend det godt nok er meget længe siden og ikke længere giver streetcred at fable om,, men det er sket.

Jeg tror den gængse opfattelse er at mirrors er mere pålidelige end typiske download sites for windows programmer , og det kan jeg godt forstå, cnet og download.com og den slags kører en eller anden antivirus scanner og så er det det,

#28: Du gætter forkert, jeg har læst kode fra mit mirror ca 0.00000000000000001% at det tilgængelige kode, omend det godt nok er meget længe siden og ikke længere giver streetcred at fable om,, men det er sket.
http://en.wikipedia.org/wiki/Significance_arithmetic

#20: Det var synd at du ikke forstod at denne diskussion ikke handler om fejlens implikationer men hvorfor den er opstået.Det er jeg udmærket klar over.

Må jeg så spørge Bill: På hvilket grundlag konkludere du at folk har for stor tillid til repos? Ved du overhovedet noget som helst om hvor meget folk stoler på repos?

#28:

ja det er en typisk fejlagtig antagelse at opensource kode automatisk er mere sikker.


Oi, den udtalelse gjorde mig rigtig interesseret. Jeg bruger lige netop opensource (Linux, Blender m.m) fordi det gir mig en større sikkerhed.

Og hvorfor er det så man tror det giver bedre sikkerhed? Jeg tror du var inde på det selv, dog i en lidt mere nuanceret version...jeg tillader mig at pinde det ud så det bliver klarere:

Opensource er mere sikkert fordi FLERE folk kan kigge med, faktisk så kan absolut ALLE med en lille smule programmeringsvide (and then some...) kigge med, total insigt er tilladt, og man må tilmed korrigere fejl...som så andre kigger på igen.

Ofte er det sådan at man har et udvalg som kigger igennem koden som bliver korrigeret...eller udvidet med flere features, sådan er det ihverfald hos Blender koderne, en "contributor" har f.eks et nyt plug-in han vil dele med folket, dette kan han gøre på 2 måder:

1) Udgive den selv på sin egen hjemmeside, her...værsgod...hent på egen risiko.

2) Udgive den via Blender repositories (SVN etc..) men så skal det godkendes af typisk nogle mentors som har lang erfaring med at kode i Blender, koden bliver ping-ponget frem og tilbage mellem de 2-3 kodere, og så bliver koden lagt ud til alles fornøjelse.

Der kan godt være fejl, det er jo det vi har "bugtrackeren" til, så kan folk rapportere fejl, og kyndige programmører kan kigge med og foreslå korrekturer.

Forskellen mellem Open Source og ren kommerciell kode (Open Source KAN også være kommerciel, bare så det er sagt ;) ) - er i princippet (og her taler vi om typisk GPL licensieret software) at man i det kommericelle tilfældet (og closed source) ikke kan kigge med sådan uden videre, og er helt på nåde til firmaet som har udgivet koden at korrigere fejlen.

Og er der f.eks en bagdør i koden fra firmaet, så har de ofte konflikterende interesser som f.eks....hvis vi nu indrømmer at vor kode har en sådan fejl...risikerer vi så at blive sagsøgt av 1000+ firmaer der ude som mener at koden har forårsaget store sikkerhets risikoer for vores firma (hvilket det jo i princippet har, hvis det da har en sådan bagdør)

Oh sikke masse text...men du ramte lige plet med et af mine lille nøglesager der...;)

OOOOG bare for at skære det ud i pap: Hvis det nu er GPL og 100% open source, så kan vi alle kigge med, og har man en programmør som har lagt ind en åben dør...jammen så står det jo til øretævere, og evig forbandelse fra samtlige kodere på denne planet, alle vil jo forbande en sådan koder langt ind i et sort hul, så det er der jo ingen der vil vel?

Der er stor chans (ihvertfald hos Blender koderne) at det bliver opdaget da der er rigtig mange folk som gennemgår koden for at hitte bugs og fjerne dem, så det ville blive opdaget lyn-børge, rest assured!

Derfor! :)

#31: Opensource er mere sikkert fordi FLERE folk kan kigge med, faktisk så kan absolut ALLE med en lille smule programmeringsvide (and then some...) kigge med, total insigt er tilladt, og man må tilmed korrigere fejl...som så andre kigger på igen.

Ja det siger det anekdotiske hear-say. Men hvad siger erfaringen? At det ikke virker i store, komplekse og volatile kodebaser, Først var der lige X, og nu kan du få Linux med i hatten.
http://blog.zx2c4.com/749

Folk har jo ulige erfaringer, jeg har også min, ligesom du har din. Jeg er mere tilbøjelig til at afprøve de forskellige ting, og så vælger jeg det som giver mig bedst resultat, og det er ikke nødvendigvis for alle. Jeg har valgt Linux som platform, en slags hybrid af færdige pakker og egen preference kan man vel sige, kompilerer ting selv, smag og behag.

#33: Jeg har valgt Linux som platform, en slags hybrid af færdige pakker og egen preference kan man vel sige, kompilerer ting selv, smag og behag.

Yes, samme her. Men hvad har det med sagen at gøre? Er det "farligt" at indrøme at en del af udviklingsmodellen er flawed? Benægtelse ar tingenes sande tilstand er det farligste af alt.