[Homeros] xmms2 и проигрыватели (was: присоединение к интернету. Модем.)

[Michael Pozhidaev]

Hello, uv322!

> Лучше, чем xmms2 в линуксе я пока не встречал.
> Если ещё сделать скрипт к нему, то просто полная сказка.

Юрий! Здесь мы уже обсуждали один аспект безопасности, связанный с
музыкальными демонами, но тогда так и не пришли к более-менее внятному
выводу. Предлагаю эту тему ещё раз, чтобы все могли лучше для себя
понять картину. Сразу говорю честно, я не в курсе деталей работы xmms2,
поэтому могу сказать что-нибудь, не соответствующее истине. Итак:

1. мы имеем постоянно живущий демон в фоновом режиме, который ловит
команды играть музыку, открывает файлы и играет их.;
2. демон обязан работать от рута. Если он не будет работать от рута, то
он не сможет залесть в мою домашнюю директорию, чтобы взять оттуда файл
для проигрывания;
3. остаётся вариант, что он работает от рута. Тогда мы посылаем команду
играть некоторый файл, лежащий в чужой домашней директории, при условии,
что нам случайно стал известен путь к нему. Итого:
4. сервер должен иметь какой-то механизм, который однозначно установит,
может ли пользователь слушать этот файл или нет. Вариант, что демон
получает какую-нибудь информацию для аутентификации, типа логина с
паролем, считаем плохим. Способов, как сервер может проверить uid
подключения, я знаю только один, реализованный в emacs-server. Система,
использующая демон, где этот вопрос не проработан, имеет все шансы
засветиться на securitylab.ru. Как эта проблема решена в xmms2?

-- 
Michael Pozhidaev. Tomsk, Russia. E-mail: msp на altlinux.ru
Russian info page: http://www.marigostra.ru/