[Homeros] xmms2 и проигрыватели

[Michael Pozhidaev]

Hello, uv322!

> Мне нравится, что в xmms2 при помощи скрипта можно сделать очень
> удобный интерфейс.
> У меня, например, по нажатию определённых клавиш, делается и перемотка
> внутри файла, и пауза, и переход по трекам, и выдаётся информация о
> времени звучания трека, его размере, битрейте, названии диска, трека,
> исполнителя и т.д.
>  Так же этот плеер воспроизводит много различных форматов, а так же
>  можно прослушивать интернетрадио.
> Думаю, что этим его возможности не ограничены.

Юрий! Это всё, бесспорно, замечательные достоинства. Вот смотрите, в чём
суть решаемого вопроса: xmms2 -- это демон, работающий от рута. Все
демоны повисают на заднем плане, ловят соединения через сокеты, получают
оттуда команды от клиентов посредством некоторого протокола, затем
команды исполняют. Само собой, сервер должен уметь исполнять команду
"играть файл". То есть, подключается клиент, посылает команду проиграть
файл с именем тра-ля-ля. Демон её получил и начал играть. Но демон
ничего не знает о тех правах, которыми обладает пользователь за другим
концом соединения. На другом конце может быть пользователь, как
действительно имеющий право слушать этот файл, так и злоумышленник,
который решил воспользоваться тем, что xmms2 работает от рута, а
разобраться, кто посылает команду не сможет.  Если команды посылаются
через TCP/IP сокеты, то тут совсем всё плохо, поскольку на другом
компьютере может быть в принципе другой набор пользователей, их uid'ов и
прочее. 

Этот вопрос -- достаточно серьёзная security деталь. По хорошим меркам
он блокирует применение любого софта, где эта деталь не проработана.

-- 
Michael Pozhidaev. Tomsk, Russia. E-mail: msp на altlinux.ru
Russian info page: http://www.marigostra.ru/