[Comm] Security hole in X (KDE)

ALT Linux User =?iso-8859-1?q?altlinux=2Emailbox_=CE=C1_gmail=2Ecom?=
Ср Мар 12 21:33:48 MSK 2008 

On 3/12/08, Andrey Rahmatullin <wrar на altlinux.ru> wrote:
> On Wed, Mar 12, 2008 at 08:23:40PM +0300, ALT Linux User wrote:
> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> SysRq отрубить не забудьте.
> А чем нажатие Reset или кнопки на пилоте отличается от нажатия C-A-BS?

Тем, что команда ALT Linux не властна над ресет. Зато над собственной
системой...

On 3/12/08, Алексей Синицын <asinitsinster на gmail.com> wrote:
> >
> > > KDE предполагает что пользователь ничего не знает о консолях. А если
> > > пользователь знает про консоли то это значит что он прошел KDE и у
> > > него левелап.
> >
> >
> > Причём тут знание консолей... Пользователь нажал пимпу lock session.
> > Вот и всё, после этого любое шевеление только после пароля. И это
> > единственно правильный подход IMHO.
> >
>
> Здесь может быть по крайней мере две проблемы.
>
> Первая - это с чего началось данное обсуждение. Иксы запущены
> командой startx. Прибив иксы мы получаем доступ к системе с правами
> текущего пользователя. Это очевидно плохо.

Именно это и волнует.

> Вторая - это мы прибиваем иксы и этим устраиваем мелкую пакость;
> то-же можно было сделать кнопкой ресет или (в отсутствии таковой на
> ноуте) чеытрехсекундным удержанием питания.

Всё равно надо стараться минимизировать дыры безопасности хотя бы на
своём уровне.
Кнопки power оставим производителям корпусов.

> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> >
>
> Здесь возможно длинное обсуждение с сравнением аппаратного
> воздействия и волшебных сочетаний клавиш.
>
> Важно помнить лишь разницу между обрушиванием системы и получением
> доступа к управлению.

Разница есть. Но тем не менее...

On 3/12/08, Alexey I. Froloff <raorn на altlinux.ru> wrote:
> * ALT Linux User <altlinux.mailbox@> [080312 20:29]:
> > Причём тут знание консолей... Пользователь нажал пимпу lock session.
> > Вот и всё, после этого любое шевеление только после пароля. И это
> > единственно правильный подход IMHO.
> [...]
> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> Не "компьютера", а "сессии". Почувствуйте разницу.

На компьютере запущена МОЯ сессия. Сколько не чувствую - разницы не
ощущаю, поскольку во время моей сессии - компьютер мой на столько, на
сколько разрешено. Не меньше.

Подробная информация о списке рассылки community