孩子们通过混搭密钥在Linux Mint中发现安全缺陷
我们期待着。 20年来,您一直不会告诉别人我曾这样告诉您,然后再也没有机会再做一次。而且确实再次发生了,是的,请尽情享受。让我们再多说一遍,如果它可以帮助我们做出更多反应,并使5.0变得更好,那就拥抱它吧。
如果您未在Linux上运行XScreenSaver,则可以安全地假定您的屏幕未锁定。
不能。如上所述,KDE有一个独特的储物柜,还有一个光储物柜,所以不,XScreensaver并不是唯一可以防止库/工具包崩溃的设计。
您可能还记得在十七年前的2004年,我写了一篇文档,解释了为什么要做出我在XScreenSaver中所做的设计折衷,并且在该文档中我预测了这个确切的错误作为我的示例,&#34 ;如果您不这样做,将会发生这种情况。"
他确实做到了,并且设计选择很有道理。尽管他没有满足人们的需求,但它提供了更高的安全性。
JWZ'智慧的信息要想得到重视和重视,就必须更加务实。如果我告诉你不要走出家门,那你会死的。在17年后参加您的葬礼,告诉您的朋友我已经告诉过您了,那么,当然,我有一个观点,但是谁在乎呢?人们想玩刀,走出家门,在高速公路上快速开车并过马路。告诉他们天生就是不安全的,只是忽略了他们想做的事情。人们想要一个漂亮的锁屏。因此,让我们开始努力。
我希望JWZ能够考虑将安全性和丰富问候结合在一起的设计,因为在那时,它会提供警告的解决方案。相反,警告丢失了,因为提供的解决方案未解决需求。到我们提出解决方案时,警告几乎已被驳回,因为它不切合实际。
看着光锁和KDE,它们似乎比JWZ的反射更进一步,并在满足安全要求的同时为实际用户的需求提供了解决方案。
当我们第一次看到并寄出防盗锁时,并没有碰到我们,因为我们已经用替代品(当时的gnome-scrensaver和mate-screensaver)替换了xscreensaver,即我们已经接受了解决该问题的安全风险。需要空缺。当我们看到类似锁光灯的东西时,那个警告几乎已经被遗忘了。是真的,很可惜。
编写肉桂屏幕保护程序时,它正在替换gnome屏幕保护程序,但它再次没有想到该警告,因为当时我们还没有想到要做光锁程序,也不应该做xscrensaver程序。 (即不使用工具包)是不可接受的。
是的,他们做到了,我们现在就做到了。因为他们必须。 JWZ错过了这一点。您不能要求人们不做他们想做的事情,以及他们期望做些什么。如果他们想过马路,则需要确保他们这样做的安全。你知道吗?它永远不会像过马路一样安全。有个聪明的人告诉他们从不做,根本没有帮助。
每次重新引入此bug时,都会有人用管道说“"那是一个bug,他们已将其修复。”这确实是关键所在。关键不是存在这样的错误,而是有可能这样的错误。这里真正的错误是系统的设计甚至允许此类错误。设计关键的安全基础架构的人会以不会安全失效的方式设计系统,这是不合理的。
我可以看到JWZ的来源。尽管我想指出GNOME从头开始重写了他们的解决方案(我不知道他们使用了什么设计),我们也是如此。我不确定这些GNOME开发人员是否与以前相同,我们当然不是。我们确实确实犯了人们在我们面前犯的错误,并且确实确实修复了该错误,并在完成时轻拍了一下,但我认为您不能说我们很满意并称其为& #34;完成工作"。这立即使我们想到,如何防止再次发生这种情况,我们在路线图上将迎宾者/储物柜分开,因此非常计划将其推向5.0。
煽动性的博客文章以及随之而来的所有社交媒体炒作肯定将使我们更加关心,但这仅仅是事实,这发生在我们的代码中(这是我们现在的代码,不仅是gnome屏幕保护程序或其他我们只是向上游发货),而我们的设计足以使我们想要对其进行审查。
尤其是当我给他们提供了将近30年的现有技术演示如何正确执行的信息时,一份长达20多年的文件清楚地解释了“不该做什么”,恰巧使用了这个错误作为其示例性的稻草人!
Xscreensaver的操作不正确。不过马路不是过马路的最安全方法。
他暴露了一个问题,但他没有给出解决方案。这里没有解决需要,存在危险,是其他项目(不是xscreensaver)提供的解决方案。它需要进行适当的审核,但是对我来说,无论从安全性还是在功能方面,light-locker和KDE似乎都是目前最好的解决方案。
编写对安全性至关重要的代码非常困难。大多数人无法做到这一点。锁定和身份验证是操作系统级别的问题。尽管X11是Linux台式计算机操作系统的核心,但它的设计没有安全性可言,因此,锁柜必须像普通的,非特权的用户级应用程序一样运行。这使问题变得更加棘手。X11架构的错误永远无法修复。 X11太旧,太僵化,并且有太多陷入泥潭的利益相关者无法对它进行任何有意义的更改。这就是为什么人们一直试图替换X11的原因-并失败了,因为它根深蒂固。
与往常一样,这些错误是可怕的,因为糟糕的安全性比没有安全性还差。如果您知道屏幕没有锁定,那么您的行为会适当。也许您走开后就登出了。也许您不会在某些事情上使用那台计算机。但是,安全安慰剂会让您的行为看起来好像是安全的,而实际上却并非如此。
这些反复出现的错误的令人毛骨悚然的部分之一是XScreenSaver的屏幕锁定器部分甚至不是有趣的部分!我不喜欢这样做。我从来没有。我添加它是为了满足需求和必要性,不是因为它听起来像是个好时机。
我能理解我想我们大多数人都讨厌自己从事安全工作。我们喜欢用技术做凉爽的事情,而不是束缚自己,因为如果我们不强迫自己思考他们可以对他人使用A或B的所有微小方法,那么少数人就会滥用他们的一切并破坏党。
Xscreensaver是一个了不起的项目。我们已经出货了一段时间,当时让用户感到高兴。它也是它的fork gnome-screensaver的代码库,人们已经使用了多年。因此,作为一个项目,我们欠了很多钱。开发人员所做的设计选择也很鼓舞人心,因为它们解释了在储物柜之类的库中使用库和工具包的危险,储物柜必须尽可能地防撞。在继续解决这种危险的同时,它未能为人们的需要提供解决方案。
我会走得更远。 JWZ在xscreensaver中所做的事情是我们经常使用的关键原则的源泉(尽管它很困难,因为人们将我们推向另一个方向)。我们尝试不实施不需要的功能,并且如果不需要则不依赖libs / toolkits。
话虽如此,我已经向JWZ致辞。不要成为那个人。只告诉别人不要过马路太容易了。与我们一起建立最安全的道路。与愚蠢的I-told-u-so博客文章相比,我更愿意接受您对光锁的审核。不要痛苦,要成为解决方案的一部分。
作为Gnome屏幕保护程序的分支和后代的薄荷屏幕保护程序和Cinnamon屏幕保护程序已继承了此许可违规行为,并一直持续下去。每个Linux发行版都随附此侵犯版权和许可证的代码。
mate-screensaver是从gnome-screensaver派生的,并且仍然处于活动状态,所以也许有人遇到了许可问题?我不知道
xfce-screensaver是从mate-screensaver afaik派生出来的...所以在这里也是如此。我们在Xfce中使用了Light-Locker,因此我不太确定。
这些版权和许可侵权行为必须更详细地说明。我建议直接与感兴趣的各方(MATE和Xfce项目)联系。
撰写有关无关主题的恶意博客文章并不是获得答案的最佳方法。直接联系Xfce和MATE怎么样?
如果您与我联系,我告诉您我想要什么。我希望您把钱放在嘴边,并像以前一样辉煌。我希望您能利用自己的专业知识来审计防盗柜的设计以及KDE使用的简约防盗柜(https://github.com/KDE/kscreenlocker/blob/master/abstractlocker.cpp)。我希望您在6个月后再次将我们的问候从我们的储物柜中分离出来,并让您说不,这仍然不够。 B,或者,是的,这很酷..既是一个漂亮的招呼者又是一个安全的储物柜。
我们还戴了发行帽,还提供了mate-screensaver和xfce-screensaver。如果确实存在许可问题,让我们看看它如何在感兴趣的方面发展。我们不会担任评委,我敢肯定您可以和他们谈谈。在我们这边,我们可以继续运送这些屏幕保护程序,或者简单地用光锁替换它们。
