| |
Компания Google опубликовала под лицензией Apache приложение XSecureLock, в рамках которого подготовлен защищённый вариант системы блокировки экрана для X11. Целью разработки XSecureLock было обеспечение максимальной безопасности, которая достигается благодаря модульной архитектуре, при которой аутентификация и блокировка экрана вынесены в разные процессы.
Координирует работу XSecureLock основной управляющий процесс, который содержит минимальный набор кода и запускает для аутентификации и блокирования экрана отдельные процессы-модули, а также контролирует нахождение экрана в заблокированном состоянии. На работу основного процесса не могут влиять ошибки во внешних библиотеках. Благодаря такому подходу XSecureLock защищён от типичного метода атаки на хранители экрана - инициирование краха через передачу некорректных данных во время аутентификации. Так как существующие хранители экрана выполняют аутентификацию и блокировку экрана в одном процессе, то крах этого процесса приводит к разблокировке экрана.
Для защиты от отображения поверх заблокированного экрана окон и уведомлений, выводимых в режиме OverrideRedirect, основной процесс XSecureLock постоянно выводит своё окно на передний план, а для защиты от утечки данных через подключение второго монитора - приводит размер своего окна к размеру корневого окна X-сервера. Единственным условием разблокировки является возврат модулем аутентификации специального кода статуса выполнения операции.
Модульная архитектура также позволяет использовать разные методы аутентификации и блокировки экрана. Например, доступны два модуля для аутентификации через систему PAM (auth_pam_x11, auth_pamtester) и четыре модуля блокирования экрана (saver_blank, saver_mplayer, saver_mpv, saver_xscreensaver). При желании можно легко подготовить собственные реализации модулей. |
|
- Главная ссылка к новости (https://github.com/google/xsecurelock...)
- OpenNews: Уязвимость, позволяющая обойти блокировку хранителя экрана
- OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
- OpenNews: В GNOME исправлена ошибка, позволяющая получить доступ к сеансу, невзирая на блокировку экрана
- OpenNews: В Ubuntu 14.04 устранена уязвимость, допускающая вход в заблокированный экран без пароля
| Тип: Программы | Ключевые слова: google, x11, screensaver, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
1.1, клоун, 11:21, 26/06/2014 [ответить] [смотреть все]
| +8 +/– |
Вот и настала эра защищённых блокнотов, когда поверх основного окна программы выводится картинка, ввод символов, отрисовка и сохранение файлов разнесены в разные процессы на разных компьютерах с организацией шифрованного пятью алгоритмами и двумя хэшированиями канала связи.
| | |
|
1.2, anono, 11:25, 26/06/2014 [ответить] [смотреть все] –4 +/–интересно, а то xscreensaver заколебал уже крашиться приходишь утром - а блокир... весь текст скрыт [ показать]
1.3, koblin, 11:25, 26/06/2014 [ответить] [смотреть все] +5 +/–
>Для защиты от отображения поверх заблокированного экрана окон и уведомлений, выводимых в режиме OverrideRedirect, основной процесс XSecureLock постоянно выводит своё окно на передний план
эпичные костыли
|
5.75, arisu, 05:21, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> наверняка можно, только ты почему-то до сих пор не предложил общественности реализованную
> альтернативу
может, потому, что у него, например, xscreensaver нормально работает?
| | | 4.24, www2, 12:48, 26/06/2014 [ ^] [ ответить] [ смотреть все] +/–Расскажи об этом Виетсе Венема, разработчику Postfix Почему то его не прельстил... весь текст скрыт [ показать] |
6.108, Hety, 11:47, 29/06/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
Как сидевший более 3х лет на каждом из них могу сказать,что:
1. Они оба не падают. Причем собиралось все с экспериментальными патчами иногда, но результат тот же.
2. Экзим настраивается проще. Скрипты в конфиге и пр.
3. Они оба работают и делают то, что должны.
Я выбрал экзим из-за более простой настройки. Я ленивый и собственно объемы у меня небольшие. Как оно держится под большой нагрузкой - не могу сказать.
| | | 5.43, клоун, 14:33, 26/06/2014 [ ^] [ ответить] [ смотреть все] +/–Защитить от чего Какие угрозы он закрывает благодаря перезапуску процессов Мож... весь текст скрыт [ показать] 6.81, Аноним, 08:17, 28/06/2014 [ ^] [ ответить] [ смотреть все] +/–По моим наблюдениям, винду так и лечат обычно попробуйте перезагрузиться давн... весь текст скрыт [ показать] 6.86, arisu, 08:36, 28/06/2014 [ ^] [ ответить] [ смотреть все] –2 +/–
> Защитить от чего? Какие угрозы он закрывает благодаря перезапуску процессов?
тебе, дегенерату, это не понять.
3.16, хмм, 12:14, 26/06/2014 [ ^] [ ответить] [ смотреть все] –6 +/–Похоронить наконец иксы ... весь текст скрыт [ показать] 2.19, абыр, 12:38, 26/06/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/– |
3.76, arisu, 05:22, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> Ну дык продуманная архитектура X11 такая продуманная.
прикинь, таки да. но рукожопые дауны могут всё, что угодно, поломать.
| | |
|
5.84, arisu, 08:29, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
а оно и не должно быть никаким «особенным». по уму, это вообще должно быть окно с каким-нибудь свойством типа WM_SCREENLOCKER, каковое свойство должен обрабатывать WM и обеспечивать «непросвещаемость» локера.
я, впрочем, никогда не видел, чтобы кто-то сквозь обычный xscreensaver пролез, или чтобы оный xscreensaver у меня пароль не спросил. видимо, это от того, что не увлекаюсь всякими DE и прочими модными нынче перделками.
(правда, мой флюкс зато можно подвесить намертво путём установки у двух окон пары безобидных свойств, а с тем же Xfce так уже не получается)
| | |
1.4, Аноним, 11:27, 26/06/2014 [ответить] [смотреть все] +1 +/–Интересно, давно OverrideRedirect появился в X ... весь текст скрыт [ показать]
1.5, Xasd, 11:28, 26/06/2014 [ответить] [смотреть все] +/–
в интересное время мы живём, однако!
..в Wayland такого костыля уже не будет (хранитель экрана в Wayland -- это штатная функция композитного манагера, а не отдельная костыль-хак-программа).
1.7, пруфридер, 11:39, 26/06/2014 [ответить] [смотреть все] –1 +/–
Когда в портах/ебилд/рпм/деб?
1.14, Аноним, 12:08, 26/06/2014 [ответить] [смотреть все] +1 +/–потребление ресурсов тредов не важно ... весь текст скрыт [ показать]
1.17, Аноним, 12:29, 26/06/2014 [ответить] [смотреть все] +/–Хм, кажется что я где-то читал что надёжно заблокировать экран в X нельзя в прин... весь текст скрыт [ показать]
|
5.78, arisu, 05:24, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> То, что пользовательские приложения могут поломать X-ы говорят вовсе не о правильном
> дизайне последнего.
скажи, у тебя братья или сёстры есть? они тоже такие дегенераты, как ты, или ты в семье уникум?
| | | 4.49, hoopoe, 17:36, 26/06/2014 [ ^] [ ответить] [ смотреть все] +/–девелопил когда-то под иксы, гонял чистый xlib, потом немного мотиф в то врем... весь текст скрыт [ показать] 6.57, хм, 23:38, 26/06/2014 [ ^] [ ответить] [ смотреть все] –2 +/–Ого, этот костыль всем костылям костыль Царь-костыль Костыль-шедевр Венец кос... весь текст скрыт [ показать] |
9.71, maximnik0, 16:13, 27/06/2014 [^] [ответить] [смотреть все] | +/– |
>> А что возможность возобновить сеанс с другого X терминала это костыль ?
> Возможность очевидно архинужная. Реализация -- костыль.
Мда ,нвидиа оптимус тогда вообще идеальная технология .
| | | 8.73, Vkni, 21:13, 27/06/2014 [ ^] [ ответить] [ смотреть все] +/–
> А что возможность возобновить сеанс с другого X терминала это костыль ?
Это реализовано в программе screen. Так вот она сделана значительно правильнее.
6.69, hoopoe, 15:17, 27/06/2014 [ ^] [ ответить] [ смотреть все] +/–
> Я же говорю есть свойство сеанса -заблокировано ,приостанавливает работу всех графических программ (замораживает процессы сеанса и делает атомарный снимок состояния )
этим нельзя пользоваться, представь что у тебя на ночь остались процессы, которые молотят какую-нибудь задачу, и выводят прогресс на экран... и тут их приостанавливают... обидно будет с утра получить сюрприз :)
|
7.70, maximnik0, 16:09, 27/06/2014 [^] [ответить] [смотреть все] | +/– |
>этим нельзя пользоваться, представь что у тебя на ночь остались процессы, которые молотят >какую-нибудь задачу, и выводят прогресс на экран... и тут их приостанавливают... обидно >будет с утра получить сюрприз :)
Ну если хочется - существовал костыль ,подключить виртуальный клиент (отладочный XFree сервер ) ,и можно блокировать сеанс ,правда страшный гемор потом подключатся :-(
И опять же разрабатывалось то для других технологий -большая эвм ,куча терминалов ,в этом случае заморозка сеанса очень хороша - не жруться ресурсы ,задачи весящие в памяти уйдут в своп .А для фоновых задач -демоны и крон задание .
| | | 7.72, rob pike, 16:48, 27/06/2014 [ ^] [ ответить] [ смотреть все] –1 +/–
> процессы, которые молотят какую-нибудь задачу, и выводят прогресс на экран
В иксы выводят? И вы видели такие процессы в реальной жизни?
А нажимать "продолжай молотить" каждые 15 секунд они не просят? Можно ведь и такое гипотетически предположить. И тут же, разумеется, отругать иксы за то что в них не встроена автоматическая нажималка, которая бы это делала.
|
8.74, Vkni, 21:15, 27/06/2014 [^] [ответить] [смотреть все] | +/– |
> В иксы выводят? И вы видели такие процессы в реальной жизни?
Wolfram Mathematica - я её с удовольствием гонял и гоняю удалённо по гигабитной сетке. Увы, очень не хватает отключения.
| | | 8.83, Аноним, 08:24, 28/06/2014 [ ^] [ ответить] [ смотреть все] +/–Да, если даже командлайновая программа что-то плюет на экран, терминалка это рис... весь текст скрыт [ показать] |
9.85, arisu, 08:33, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> Что там еще можно придумать?
не выпендриваться и запускать через dtach/screen/tmux, опционально с tee. если у тебя screensaver вылазит в процессе работы программы, то её вывод тебе явно глубоко по барабану. поэтому програму можно спокойно отсоединить, и пусть себе на фоне колбасит. а всё полезное и интересное (если там такое есть) tee бережно сложит на диск.
| | |
|
10.92, Vkni, 18:31, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
Оно правильно, но screen'а под X в поставке по-умолчанию не хватает. А Xpra требует чёртову тучу питоновских модулей.
| | |
|
11.99, arisu, 18:46, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> Оно правильно, но screen'а под X в поставке по-умолчанию не хватает. А
> Xpra требует чёртову тучу питоновских модулей.
ну да, отказались в своё время делать нормально — теперь даже с костылями не удаётся бегать. понятно, что мозги тулкитописателям уже не починишь (каюсь, мои микротулкиты тоже такие же поломаные), потому приходится костылять…
| | | 6.79, Anonym2, 06:53, 28/06/2014 [ ^] [ ответить] [ смотреть все] +/– gt оверквотинг удален Вы так пишете Замораживает На самом деле оно ничег... весь текст скрыт [ показать] |
9.89, arisu, 08:47, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> ИЧСХ, иксы во всем этом являются одним из главных тормозов.
если у разработчиков прикладного софта руки примонтированы к заднице — ещё и не такие чудеса случаются.
> Все это прекрасно, но если посмотреть на историю разработки N900, половина этой
> истории будет борьба с иксами и из производительностью.
ссылочки? а то извини, я опять наблюдаю твои странные фантазии на почве иксофобии.
> Закончилось это «обычно»
> - большинство программ которым надо быстро гнать картинку, делают это через
> OpenGL.
(подражая принцессе Альбине) у-ля-ля!
тебе сколько раз тут уже хором говорили, что OpenGL — вполне естественная часть иксов? это раз. и что про «большинство» ты несколько… преувеличиваешь? это два. и что можешь пойти, сказать спасибо пакарду, как предводителю стада рукожопов. это три.
| | |
|
10.96, Vkni, 18:36, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> тебе сколько раз тут уже хором говорили, что OpenGL — вполне естественная
> часть иксов?
Это аноним.
Впрочем, тут так часто повторялось, что должен был услышать так или иначе. Видимо, нет лишних нейронов, чтобы запомнить.
| | |
|
11.97, arisu, 18:40, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
>> тебе сколько раз тут уже хором говорили, что OpenGL — вполне естественная
>> часть иксов?
> Это аноним.
это User294, очевидно же.
| | | 9.91, maximnik0, 15:29, 28/06/2014 [ ^] [ ответить] [ смотреть все] +/–
>> предполагалось, что все будут договариваться полюбовно.
> Надеяться на то что рядовой апликушник пойдет и сделает заморозку - ну
> ты понял.
Ну вообще то все это описано в стандартах posix .Системные сигналы - stop /cont /... kill .Мда я с склерозом то и забыл что обязательными являются только kill и int ,на остальные сигналы процесс может и забить .Так что извиняюсь ,действительно как сделали замечание X просят программы заморозится .
|
10.107, Anonym2, 08:25, 29/06/2014 [^] [ответить] [смотреть все] | +/– |
>>> предполагалось, что все будут договариваться полюбовно.
>> Надеяться на то что рядовой апликушник пойдет и сделает заморозку - ну
>> ты понял.
> Ну вообще то все это описано в стандартах posix .Системные сигналы
> - stop /cont /... kill .Мда я с склерозом то и
> забыл что обязательными являются только kill и int ,на остальные сигналы
> процесс может и забить .Так что извиняюсь ,действительно как сделали замечание
> X просят программы заморозится .
Не льстите склерозу. По поводу отправки сигналов с сервера клиентам...
| | | 8.90, Anonym2, 12:47, 28/06/2014 [ ^] [ ответить] [ смотреть все] +/–
> ну, то есть, то, что сейчас через задницу пытаются эмулировать всякими <<веб-сервисами>>.
> что такое эти <<веб-сервисы>>-то? это ведь такой протокол для рисования всякой
> мордобайды к удалённому софту, работающему на дальних серверах. то есть, в
> оригинале оно для этого не предназначалось, для этого были совсем другие
> механизмы, проще и удобней, но... но прохлопали, и радостно стали пихать
> непихаемое при помощи кувалды и какой-то матери.
Ну web-сервисы - это универсально. Потому что HTML универсальный широко используемый в сети язык, к которому практически везде можно рассчитывать есть клиенты. Что имеет свои немалые основания. Это значит что web-интерфейс можно будет увидеть на практически любом устройстве... Но и X в общем-то не отменяли. Если к домашней станции... :-)
|
9.94, Vkni, 18:34, 28/06/2014 [^] [ответить] [смотреть все] | +/– |
> Ну web-сервисы - это универсально. Потому что HTML универсальный широко используемый в
> сети язык, к которому практически везде можно рассчитывать есть клиенты. Что
> имеет свои немалые основания. Это значит что web-интерфейс можно будет увидеть
> на практически любом устройстве... Но и X в общем-то не отменяли.
> Если к домашней станции... :-)
а) Не HTML, а JavaScript.
б) В отличие от Xов, под которые можно писать практически на любом универсальном языке (есть соответствующие binding'и), на JavaScript'е такого нет - приходится использовать трансляторы типа emscripten.
| | | 9.95, arisu, 18:36, 28/06/2014 [ ^] [ ответить] [ смотреть все] +1 +/–ты одно слово забыл 171 несовместимо 187 универсально несовместимо 8212 ... весь текст скрыт [ показать] |
10.102, Anonym2, 06:17, 29/06/2014 [^] [ответить] [смотреть все] | +/– |
> сколько студент будет пилить браузер, поддерживающий все фичи, нужные, чтобы запускать
> современные <<веб-приложения>>? ну да, внуки принесут на могилку дедушке цветы
> и вздохнут: <<он потратил свою жизнь на бесплодную погоню за недостижимой
> мечтой...>>
Вот так незаметно переходим от web-интерфейса и HTML, про который я писал, хотя кому-то сразу начало хотеться поправить на javascript, к разного рода "фичам" и "веб-приложениям" от гей парада... Оно всё в категорию того, что нуждается в поддержке чтобы работало, и вовсе не входит. Так что студенту незачем делать фичи, которые столь нужны каким-то п.дарам из сети.
> а если бы эти <<любые устройства>> имели вместо этого какую-нибудь современную и разумную
> инкарнацию иксов (где сервер намного менее требователен к ресурсам), то...
Что "то.."? То arisu наделал бы там тысячи разных странных всплывающих окошек, неизвестно от каких "клиентов" из сети, с разной дурацкой графикой? Ну да, размечтались... >:-)
| | |
|
|
12.104, Anonym2, 07:31, 29/06/2014 [^] [ответить] [смотреть все] | +/– |
>> Что "то.."?
> не дошло? а вроде, сначала ты не совсем дураком показался. старею, видять,
> мягчею.
Ну вы-то п.даром и не старались не казаться, насколько доходит...
| | | 4.51, Anonymus, 20:57, 26/06/2014 [ ^] [ ответить] [ смотреть все] +/–и хто-ж такое осилит нынче-то не 84 год ... весь текст скрыт [ показать]
1.26, mikevmk, 12:55, 26/06/2014 [ответить] [смотреть все] +3 +/–
А i3lock разве этого не делает?
1.27, Аноним, 13:00, 26/06/2014 [ответить] [смотреть все] +/–и у пользователей пароли или 1234 124 ната111 или на листочках приклеены к ... весь текст скрыт [ показать]
1.35, Аноним, 13:16, 26/06/2014 [ответить] [смотреть все] +/–Хорошая вещь Смотрим Похожие новости ... весь текст скрыт [ показать]
1.47, Отражение луны, 16:40, 26/06/2014 [ответить] [смотреть все] –3 +/–Пусть уйдет вместе с иксами Интересно другое - они же XSecureLock для хромоси ... весь текст скрыт [ показать]
1.60, alltiptop, 01:43, 27/06/2014 [ответить] [смотреть все] +/–
Чем оно лучше/хуже блокировки иксов квином?
Ваш комментарий
Read more |