[Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Андрей Черепанов <cas на altlinux.ru>:
> 9 марта 2008 Vyatcheslav Perevalov написал:
> > 1. Грузимся в runlevel 3
> > 2. Логинимся как user1
> > 3. startx
> > 4. работаем в X, при необходимости отлучиться - блокируем экран
> > 5. к машине подходит user2, видит что экран заблокирован
> > 6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
> > 7. Ctrl-C
> > 8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.
> >
> > Просьба подтвердить или опровергнуть.
> Подтверждаю то, что сам пользователь нашёл приключений на свою голову и не
> использовал dm, как рекомендуют специалисты по безопасности.

IMHO это весьма спорный момент.
Во-первых, не надо требовать многого от пользователя - пользователь
этого, как известно, не любит.
Во-вторых, "рекомендации" по безопасности, если таковые нужны,
работают лучше, если уже "встроены" в систему, а не витают в воздухе в
виде неких "правил". Кстати, есть где-то эти рекомендации не грузится
в текстовую консоль в процессе установки ALD4? Понеже, анчекнул боксик
"грузиться в графический режим" и всё, безопасность и секъюрность
испарились?

IMHO довольно удобно НЕ грузиться в графический режим сразу. По многим
причинам. У меня дуалбут с оффтопиком и бывает несколько раз в день
приходится "скакать" туда-сюда. Чем меньше занимает загрузка - тем
душе приятнее, поскольку посмотреть-переписать пару файлов можно и в
консоли. Плюс, смотреть обновления - можно и в консоли. Плюс,
восстанавливать систему, настраивать систему, можно и в консоли. А
поскольку падает оно с завидной регулярностью - консоль частый гость
на наших голубых экранах.

Так что, с моей скромной точки зрения обыкновенного пользователя с
ограниченными знаниями и не очень прямыми руками, такая политика
взаимодействия икс-сервера и кедэе кажется простой дырой в
безопасности.