RLFontan
(usa elementary OS)
Enviado em 03/11/2018 - 01:30h
Pessoal, eu tenho dúvidas a respeito da segurança de coisas como os Widgets do KDE, os Spices do Cinnamon ou as Extensions do GNOME. Consegui algumas inforações sobre:
KDE:
Conversei com desenvolvedores do KDE no Telegram e tive acesso a informação que não há um controle rígido sobre o Widgets que você baixa para o seu sistema. Aqueles widgets que vem por padrão no seu sistema possuem revisão certa, mas o mesmo não ocorre com aqueles que você faz o download através do próprio KDE, estes por sua vez, apenas refletem a KDE store, e embora eles possam ser revisados, não há nenhuma garantia de que o seja.
GNOME:
O site do GNOME Extension, em sua aba "about" diz o seguinte:
The code in a GNOME Shell extension becomes part of the core operating system. For this reason, the potential exists for an extension to cause system misbehavior, crashes, or even to have malicious behavior like spying on the user or displaying unwanted advertisements. All extensions uploaded to this site are carefully reviewed for malicious behavior before they are made available for download. This process of code review is similar to the process for Firefox add-ons submitted to addons.mozilla.org.
If you encounter problems with an extension, such as a crash, make sure to report the problem using the Bug Report link on the extension's page.
Tem portanto, revisão, as extensões do GNOME provenientes do referido site. Entretanto, conversei com um usuário de Fedora ativo nas comunidades do Telegram, chamado Tobias, e ele me disse o seguinte:
"Tobias:feet:, [01.11.18 06:20]
[In reply to RLFontan]
As said, gnome reviews do not remotely catch anything.
Tobias:feet:, [01.11.18 06:20]
They grep for urls and for obvious ofuscation
Tobias:feet:, [01.11.18 06:21]
But if you dynamically call a net function in there deep in the code it may pass review.
Tobias:feet:, [01.11.18 06:21]
Thats why i limit extensions to the ones vetted by fedora upstream."
Cinnamon:
Foi dito o seguinte no Blog do Linux Mint no post Changes to Cinnamon Spices de January 20, 2017:
"In an ideal world we provide the platform for users to enjoy 3rd party development and for developers to reach their audience in the simplest possible manner. In practice, and we’ve seen this last year when our project and users were the targets of specific attacks, we can no longer blindly trust 3rd parties and expose users to them directly. All changes coming from sources we don’t trust must be reviewed to guarantee the absence of malicious code."
Portanto, parece ter adotado o Linux Mint, onde desenvolve-se o Cinnamon, uma política de revisão e confiança. Revisam os spices de autores desconhecidos, e parecem pegar mais leve naqueles que já tem histórico de confiança.
E aí galera, o que vocês acham sobre isso? Como devo lidar com a questão da segurança do sistema versus esses flavors outsiders do gerenciamento de pacotes?
Valeu!