[Comm] Security hole in X (KDE)

Алексей Синицын =?iso-8859-1?q?asinitsinster_=CE=C1_gmail=2Ecom?=
Ср Мар 12 20:45:19 MSK 2008 

12.03.08, ALT Linux User<altlinux.mailbox на gmail.com> написал(а):


>  >  А еще распространено такое понимание, что "компьютер" воспринимается
>  > как нечто целое, как некоторая сущность, и к сожалению, в силу
>  > сегодняшних возможностей информационных технологий, необходимо другое
>  > представление. Что информационная система - это сумма модулей, часто
>  > независимых друг от друга и нередко плохо связанных или не всегда
>  > взаимодействующих.
>
>
> Речь идёт о плохой информационной системе?
>

 Я мог-бы рассказать о своем представлении о хорошей информационной
системе, но боюсь это будет слишком долгое лирическое отступление и
возможно не все любят фантастику.

>
>  >  KDE предполагает что пользователь ничего не знает о консолях. А если
>  > пользователь знает про консоли то это значит что он прошел KDE и у
>  > него левелап.
>
>
> Причём тут знание консолей... Пользователь нажал пимпу lock session.
>  Вот и всё, после этого любое шевеление только после пароля. И это
>  единственно правильный подход IMHO.
>

 Здесь может быть по крайней мере две проблемы.

  Первая - это с чего началось данное обсуждение. Иксы запущены
командой startx. Прибив иксы мы получаем доступ к системе с правами
текущего пользователя. Это очевидно плохо.

  Вторая - это мы прибиваем иксы и этим устраиваем мелкую пакость;
то-же можно было сделать кнопкой ресет или (в отсутствии таковой на
ноуте) чеытрехсекундным удержанием питания.

  Второе можно рассматривать или не рассматривать - это вопрос вкуса,
вполне может быть что имеет смысл по умолчанию выключить сочетания
Ctrl Alt, но мне кажется что это сравнимо с ресетом и можно оставить
как есть.

 Первый-же случай - впрочем уже все разжевано...

> Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
>  нарушить безопасность работы формально заблокированного компьютера.
>

  Здесь возможно длинное обсуждение с сравнением аппаратного
воздействия и волшебных сочетаний клавиш.

 Важно помнить лишь разницу между обрушиванием системы и получением
доступа к управлению.

Подробная информация о списке рассылки community