Názory k článku Zranitelný FFmpeg: místo přehrávání videa odesílá soubory
-
jozo (neregistrovaný)
Neviete niekto ako je na tom framework libav ?
Ktory ma teraz viac featur ?dost casto pouzivam libav avconv z https://sites.google.com/site/linuxencoding/builds
ci sa mi oplati prejst spat na ffmpeg -
Ondřej CaletkaZlatý podporovatelPěkné shrnutí je zde: https://github.com/mpv-player/mpv/wiki/FFmpeg-versus-Libav
FFmpeg má určitě víc funkcí. Ale pokud ti libav vyhovuje k účelu, pro který ho používáš, není důvod jej měnit.
-
Ondra Satai NekolaZlatý podporovatelStoji za zvazeni pouzivat MAC. At uz GRsecurity nebo SE Linux. Nebo pro kriticke veci (browser, mail klient, prehravace medii, prohlizec pdf) alespon firejail.
-
Ondra Satai NekolaZlatý podporovatel
Firejail mam rad, je to z hlediska uzivatele krasne jednoduche reseni. Ale AFAIK nikdo poradne nerozebiral jeho bezpecnost, tak bych na nej zas tak nespolehal...
(btw: pokud mas ten profil upraveny pro seamonkey, tak udelej pullrequest na githubu. Autori je celkem ochotne merguji, pokud davaji smysl.) -
Zběžně jsem vyzkoušel firejail v Debianu (bohužel není ve stable) a mám z toho asi takový pocit:
Vypadá to, že firejail se snaží nějak rozumně automaticky omezit přístup aplikace k citlivým datům a citlivým akcím. Například firejail zsh neměl přísup ke keyringu a nemohl spustit sudo (takže ani sudo nastavené permisivně pro všechny uživatele snad není možné zavolat). Ale věřil bych tomu spíš pro osekání přístupu důvěryhodné aplikace než pro spouštění nedůvěryhodných aplikací. Nezkoumal jsem, jak má firejailnutá aplikace například přístup do schránky, k ostatním X11 aplikacím, k .bashrc/.zshrc apod. Věřím ale, že s dostatečným zkoumáním se tu nějaká skulinka najde. Například s přístupem do schránky můžu čekat, až se tam objeví příkaz, upravit ho a doufat, že ho pak někdo pastne do konzole. Nebo upravit číslo bankovního účtu.
Stále to může u důvěryhodných aplikací zabránit útokům jako tento nebo directory traversal, nebo aspoň prakticky omezit jejich praktickou zneužitelnost. U remote code execution bych se na to díval jako na nějaký mitigation factor (aspoň u necílených útoků, kde útočník s firejailem nepočítá), ale tady už útočník dostává dost potenciálních možností škodit. Qubes OS má IMHO stále smysl. Vhodná kombinace Firejailu a Qubes OS ale taky může mít smysl.
Pokud ale máte někdo hlubší analýzu nebo jiný názor, sem s tím :)
-
Ondra Satai NekolaZlatý podporovatel
Vicemene k podobnemu zaveru jsem dosel.
Kazdopadne QubesOS je uplne jina liga ;) Ale od pouziti mne tam odrazuje, ze neni nad Archem a ze nema tiling windos manager.
-
> QubesOS je uplne jina liga
To určitě.
> neni nad Archem
AdminVM (dom0) jede na Fedoře, ale je to celkem jedno. Tam toho stejně moc neinstaluju a neměním. Ostatně tam není ani síť.
Pro AppVMs je možné použít i Arch, byť jsem to nezkoušel.
> nema tiling windos manager.
Jsou tu patche pro podporu AwesomeWM a není až tak těžké je aplikovat. Já jsem to nainstalovat z repozitářů a patchnul.
-
Ondra Satai NekolaZlatý podporovatel
Dik, to i odpovedelo na mou otazku, co jsem ti pted chvili hazel na twitteru ;)
Ze bych to prubnul? Awesome se asi uz da snest.
ČLÁNKY DO MAILU