Sự khác biệt bảo mật nào giữa gói click và .deb?


31

Cài đặt một .deb ngẫu nhiên (khó chịu?) Có thể nguy hiểm vì nó sẽ cấp tất cả các đặc quyền cho các ứng dụng và trình nền được cài đặt vì .deb có một số cấu hình yêu cầu áp dụng nếu người dùng xác thực mật khẩu của mình trong quá trình cài đặt.

Nhấp vào gói không cần mật khẩu (theo như tôi đã kiểm tra).

Liệu bấm vào gói sẽ an toàn hơn với hệ thống / userdata hay nó sẽ giống nhau? tại sao?

Một số khía cạnh sẽ là tuyệt vời để được trả lời:

  • nhấp chuột và deb dựa trên cùng một hệ thống (dpkg)?
  • apparmor có thể cung cấp quyền truy cập root vào các ứng dụng mà không cần mật khẩu hay gì không?
  • Người dùng sẽ được nhắc chấp nhận quyền truy cập của ứng dụng khi cài đặt (ví dụ như android: ứng dụng này sẽ có thể quét / nhà của bạn và mạng truy cập) hoặc khi cần theo quyền (ví dụ như trình duyệt Hỏi quyền sử dụng cam) ?
  • gần với câu hỏi này: .apk và nhấp chuột sẽ từ giống nhau (về chính sách và câu chuyện người dùng) ?
  • chủ yếu: một ứng dụng có thể gửi tất cả dữ liệu riêng tư của tôi trên mạng bằng cách nhấp mà không cho tôi biết rõ ràng hay ít nhất nó sẽ có quyền được xác thực bởi người dùng để làm như vậy hay nó sẽ bị chặn trong hộp cát?
  • Có thể nói: gói nhấp chuột ít mạnh hơn (hạn chế nhiều thứ hơn), nhưng an toàn hơn?

Tôi muốn thêm thẻ "nhấp chuột" nhưng không đủ danh tiếng để làm như vậy. Câu cuối cùng được đặt thành chữ nghiêng .
cm-t

thẻ click-packagesđã có sẵn.
Pandya

NB: gói nhấp đang được phát triển, tôi muốn có câu trả lời cho mục tiêu của gói nhấp ổn định tiếp theo.
cm-t

Câu trả lời:


35

Lưu ý: Tôi làm việc trong nhóm bảo mật Ubuntu và đã giúp thiết kế câu chuyện giam cầm ứng dụng cho Ubuntu. Tôi sắp xếp lại các câu hỏi cho rõ ràng.

Q: "Các gói nhấp chuột sẽ an toàn hơn đối với dữ liệu người dùng và hệ thống hay nó sẽ giống nhau?"

Trả lời: Nói chung, các gói nhấp chuột an toàn hơn các cuộc tranh luận liên quan đến dữ liệu hệ thống và người dùng.

Các gói nhấp không bao gồm các tập lệnh bảo trì chạy bằng root khi cài đặt như các gói gỡ lỗi. Các gói nhấp chuột chỉ đơn giản là giải nén và sau đó các móc được cung cấp bởi hệ thống sẽ được sử dụng nếu khai báo bằng nhấp chuột. Ví dụ: nhấp chuột có thể tuyên bố sử dụng móc máy tính để bàn để tạo tệp máy tính để bàn hoặc móc AppArmor để tạo hồ sơ AppArmor cho ứng dụng. Vì bao bì deb có khái niệm về các tập lệnh bảo trì được thiết kế để cho phép tùy chỉnh rộng rãi phần mềm hoặc hệ thống, các gói deb chỉ nên được cài đặt từ một nguồn đáng tin cậy, ví dụ như một kho lưu trữ đã ký từ một bản phân phối như Ubuntu. Các gói nhấp có thể được cài đặt trực tiếp và bạn có thể chắc chắn chắc chắn rằng cài đặt gói sẽ không làm hỏng hệ thống của bạn. Tuy nhiên, đó chỉ là một phần của câu chuyện-- nếu bạn cài đặt gói nhấp chuột từ một nguồn không đáng tin cậy,

Sức mạnh thực sự của nhấp chuột là khi nó được sử dụng kết hợp với kho lưu trữ phần mềm với các chính sách mạnh mẽ. Ví dụ: bảo mật của gói nhấp được cài đặt từ Ubuntu App Store thường cao hơn so với một bản sửa lỗi được cài đặt từ kho lưu trữ đáng tin cậy. Điều này là do trong Ubuntu App Store, mô hình tin cậy là các ứng dụng được coi là không đáng tin cậy * và các chính sách và kiểm tra được đưa ra để đảm bảo rằng các gói nhấp chuột trong cửa hàng có một bảng kê khai bảo mật thích hợp và do đó chạy trong sự giam cầm rất nghiêm ngặt. Trái ngược với các gói gỡ lỗi trong kho lưu trữ Ubuntu - mô hình tin cậy là phần mềm và bao bì gỡ lỗi được coi là đáng tin cậy và nói chung phần mềm không chạy trong sự giam cầm (mặc dù có rất nhiều trường hợp ngoại lệ khi hồ sơ AppArmor được gửi cùng với phần mềm để bảo vệ chống lại lỗi bảo mật).

  • Các gói đáng tin cậy cũng có thể được phân phối qua Ubuntu App Store. Mặc dù không phổ biến, chúng thường được Canonical phát triển và có thể hoặc không thể chạy dưới sự giam cầm.

Để trả lời các câu hỏi cụ thể của bạn:

Q: Nhấp chuột có dựa trên cùng hệ thống với deb không?

A: Định dạng gói cấp thấp cho nhấp chuột là deb. Tuy nhiên, bao bì nhấp chuột đơn giản hơn nhiều ở chỗ nó sử dụng bảng kê khai khai báo và móc nối thay vì các tệp đóng gói truyền thống và tập lệnh bảo trì.

H: AppArmor có thể cung cấp quyền truy cập đặc quyền vào các ứng dụng mà không cần tương tác của người dùng không?

Trả lời: AppArmor là root mạnh và có thể cho phép hoặc từ chối truy cập vào tài nguyên hệ thống (tệp, DBus, mạng, v.v.) dựa trên chính sách bảo mật đã xác định. Bản thân một gói nhấp chuột không bắt buộc phải gửi bản kê khai bảo mật AppArmor hoặc gửi bản kê khai bảo mật AppArmor 'an toàn'. Điều làm cho hệ thống an toàn là sự kết hợp giữa nhấp chuột và chính sách của cửa hàng cung cấp các gói nhấp chuột. Các gói nhấp được phân phối qua Ubuntu App Store sẽ sử dụng chính sách AppArmor rất hạn chế và không cho phép các hành động đặc quyền đằng sau hậu trường (ví dụ: một ứng dụng chạy theo chính sách này không thể thực thi các chương trình trên hệ thống phía sau hậu trường, truy cập tài khoản facebook của bạn , đánh cắp các phím gpg hoặc ssh của bạn, thao tác mạng, v.v.)

H: Người dùng có được nhắc nhở khi cài đặt để cấp quyền truy cập cho ứng dụng như trên Android không? (ví dụ: "ứng dụng này có thể quét / nhà của bạn và truy cập mạng")

Trả lời: Không. Một gói nhấp chuột có thể được cài đặt mà không cần sử dụng các công cụ lowlevel. Trên Ubuntu, các gói nhấp phải được cài đặt qua cửa hàng Ứng dụng Ubuntu (xem phần trên) và do các chính sách của cửa hàng Ứng dụng Ubuntu kết hợp với khả năng nhấp và hệ thống Ubuntu, không cần phải nhắc nhở cài đặt theo ngữ cảnh, không cần nhấp chuột. Ubuntu có thể làm điều này bởi vì các ứng dụng được cài đặt từ cửa hàng Ứng dụng Ubuntu chạy trong sự hạn chế hạn chế (nghĩa là chúng không thể làm điều xấu sau hậu trường) và khi một ứng dụng cần truy cập bổ sung, nó sẽ sử dụng API được kiểm soát có thể bao gồm nhắc nhở.

Trong trường hợp API đặc quyền, chúng tôi có khái niệm về người trợ giúp đáng tin cậy để người dùng sẽ có một dấu nhắc theo ngữ cảnh để cho phép hoặc từ chối quyền truy cập (với (bộ đệm) có thể thu hồi được để người dùng không hỏi mỗi lần). Ví dụ: nếu ứng dụng cần truy cập dịch vụ định vị (người trợ giúp đáng tin cậy), người dùng sẽ được nhắc cho phép truy cập tại thời điểm ứng dụng cố gắng sử dụng dịch vụ định vị, cung cấp ngữ cảnh để người dùng có thể tạo quyết định đã được thông báo. Điều tương tự sẽ xảy ra đối với ghi video và âm thanh. Thông thường, chúng tôi không cần phải có lời nhắc bảo mật và chúng tôi có thể cho phép truy cập dựa trên các tương tác do người dùng điều khiển với ứng dụng. Ví dụ: nếu một ứng dụng muốn tải lên một hình ảnh, sẽ có một hộp thoại để chọn hình ảnh. Đằng sau, vì ứng dụng không được phép truy cập thư mục ~ / Pictures, nó sẽ sử dụng API trung tâm nội dung sẽ khởi chạy bộ chọn tệp thư viện để người dùng chọn ảnh để tải lên. Trung tâm nội dung sau đó lấy hình ảnh từ thư viện và đưa nó cho ứng dụng. Theo cách này, không có hộp thoại bảo mật, chỉ có một tương tác tự nhiên cho người dùng, nhưng đằng sau hậu trường, có một quyết định tin tưởng ngụ ý.

H: Liên quan đến câu hỏi này: .apk và nhấp có ngôn ngữ tương tự liên quan đến chính sách và trải nghiệm người dùng không?

Trả lời: Không, không có yêu cầu cài đặt nào vì những lý do đã nêu ở trên. Các quyền của Android và quyền bảo mật cho các gói nhấp chuột như được xác định cho Ubuntu có một số điểm tương đồng, nhưng khác nhau và được triển khai khác nhau.

H: Cụ thể, với nhấp chuột, một ứng dụng có thể gửi tất cả dữ liệu riêng tư của tôi qua mạng mà tôi không biết hoặc sẽ bị giới hạn theo một cách nào đó để ngăn chặn điều này?

Trả lời: Nếu bạn cài đặt một nhấp chuột từ một nguồn không đáng tin cậy, vâng, nó có thể làm bất cứ điều gì. Nếu bạn cài đặt một lần nhấp từ Ubuntu App Store, không, một ứng dụng không thể gửi tất cả dữ liệu của bạn qua mạng vì nó không có quyền truy cập vào nó. Tất nhiên, một ứng dụng có thể xuất hiện để làm một việc và làm một việc khác vì vậy nếu người dùng cấp quyền truy cập vào dịch vụ định vị hoặc cấp cho ứng dụng quyền truy cập vào hình ảnh, thì ứng dụng có thể xấu với dữ liệu đó - nhưng đó là nơi xếp hạng / đánh giá và chính sách bảo mật của App Store có hiệu lực. Nếu một ứng dụng như thế này được báo cáo, nó sẽ được điều tra. Nếu thích hợp, ứng dụng sẽ bị xóa khỏi cửa hàng, ứng dụng sẽ bị xóa khỏi mọi thiết bị được cài đặt và quyền truy cập App Store của nhà phát triển sẽ bị thu hồi.

H: Có thể nói rằng các gói nhấp chuột an toàn hơn các cuộc tranh luận, nhưng ít mạnh mẽ hơn vì chúng bị hạn chế hơn?

A:Như có thể thấy từ trên, câu trả lời không đơn giản. Một nhấp chuột của chính nó có thể gửi phần mềm có thể làm bất cứ điều gì. Định dạng đóng gói nhấp chuột là mục đích chung có chủ đích và có thể được sử dụng theo bất kỳ số cách nào và hoàn toàn không cụ thể đối với Ubuntu. Đối với Ubuntu, sự kết hợp của các chính sách nhấp chuột, API API, AppArmor và App Store cung cấp một môi trường rất mạnh mẽ để các nhà phát triển cung cấp ứng dụng cho người dùng theo cách an toàn và dễ sử dụng cho mọi người. Tiện ích của chính các ứng dụng phụ thuộc vào các API được cung cấp cho các ứng dụng bởi hệ thống cơ bản. Bộ API ban đầu sẽ được cung cấp trên điện thoại giao hàng đầu tiên của Ubuntu sẽ cho phép các nhà phát triển tạo ra tất cả các loại ứng dụng thú vị và hữu ích bằng cách sử dụng API và SDK phong phú.


1
"Ứng dụng sẽ bị xóa khỏi mọi thiết bị được cài đặt" - điều đó có vẻ liên quan. Điều này có nghĩa là Canonical sẽ có thể gỡ cài đặt ứng dụng từ xa khỏi thiết bị của người dùng mà không cần sự cho phép của họ?

Cửa hàng ứng dụng Ubuntu sẽ có khả năng này. Việc thực hiện khả năng này có thể sẽ chỉ được thực hiện khi có mã độc hại tích cực liên quan. Tôi không muốn đưa ra chính sách ở đây vì có một số cân nhắc vẫn phải xem xét, nhưng điểm mấu chốt là đây không phải là điều gì đó xảy ra mà không có lý do chính đáng.
jdstrand

2
Tôi hiểu điều này là để bảo mật người dùng (các cửa hàng ứng dụng khác cũng làm điều này), nhưng một số người dùng không thích loại "khóa chuyển đổi" này, bởi vì điều này có nghĩa là một công ty có thể gỡ cài đặt ứng dụng từ xa (hoặc hơn), ngay cả khi nó vì lý do bảo mật. Tôi nghĩ rằng các nhà phát triển nên xem xét cẩn thận cách thực hiện điều này, để tránh tranh cãi. Có thể vô hiệu hóa ứng dụng thay vì gỡ bỏ nó, cho phép người dùng tự gỡ cài đặt hoặc kích hoạt lại ứng dụng đó và hiển thị các cảnh báo rất nổi bật ... như một đề xuất.

Nếu Click đóng gói các phụ thuộc của chính nó, vậy còn các bản cập nhật bảo mật của một phụ thuộc thì sao? Nếu bash deb được cập nhật, tất cả các gói khác sử dụng bash sẽ sử dụng phiên bản mới. Tuy nhiên, nếu gói ứng dụng Click bash thì trừ khi nhà phát triển ứng dụng cẩn thận đưa vào bash cập nhật, lỗi vẫn còn đó và giả sử nhà phát triển ứng dụng thường cập nhật gói. Lưu ý điều này trong kịch bản này hãy tưởng tượng rằng bash không phải là một gói cơ sở.
Hendy

Điều này nghe thật tuyệt! Thậm chí tốt hơn hệ thống Android! Các quyền của Android đã trở thành một cái gì đó giống như EULA, chỉ cần nhấp vào "có" mà không cần đọc ...
Galgalesh 7/12/14

2

Tôi sẽ cố gắng trả lời một số câu hỏi quan trọng nhất liên quan đến các gói bảo mật và nhấp chuột.

  • Một ứng dụng có thể gửi tất cả dữ liệu riêng tư của tôi trên mạng chỉ bằng một cú nhấp chuột mà không cho tôi biết rõ ràng không?

    • Nhấp vào ứng dụng sẽ chạy dưới sự giam cầm. Điều này có nghĩa là ứng dụng bị ngăn không cho làm điều xấu: nó chỉ có thể truy cập vào thư mục riêng của chính nó.
  • Ứng dụng có thể được cài đặt và sau đó có quyền root? không có mật khẩu hoặc lời nhắc cụ thể?

    • ...
  • Người dùng sẽ được nhắc chấp nhận quyền của ứng dụng chứ? khi nào?

    • Các ứng dụng nhấp sẽ truy cập các tính năng mà người dùng cho phép ứng dụng sử dụng (NB: prompt chưa có trên bản phát hành Ubuntu Touch hiện tại / hàng ngày) .
  • Có dựa trên cùng một hệ thống cho cả nhấp chuột và gỡ lỗi không?

    • Bao bì Debian (.deb) hoàn toàn khác nhau. Tuy nhiên, nếu ứng dụng của bạn được tạo bằng SDK Ubuntu, bạn không cần sử dụng bao bì Debian và thay vào đó có thể sử dụng bao bì Click, dễ sử dụng hơn và an toàn hơn nhiều cho người dùng cuối.
  • Tương tự như trên, để so sánh: Làm .apk (Android) và nhấp vào làm việc theo cùng một cách?

    • Các gói Android và gói Ubuntu Click sẽ hoạt động theo cách tương tự, trong đó mỗi ứng dụng sẽ có không gian riêng để lưu trữ dữ liệu và nó (lý tưởng) bị cấm truy cập trực tiếp vào dữ liệu của các ứng dụng khác. Hiện tại, các gói Android cũng có thể đọc dữ liệu từ thẻ SD hoặc bộ nhớ trong, nơi không có giới hạn truy cập. Các gói Ubuntu Click cũng sẽ phải yêu cầu quyền đối với các tính năng cụ thể.
  • Đúng là như vậy: các gói nhấp chuột ít mạnh hơn (hạn chế nhiều thứ hơn), nhưng an toàn hơn?

    • ...

Vì những lý do này, các gói Click rất an toàn và quy trình xem xét để xuất bản chúng đơn giản hơn nhiều.

Nguồn:


Vui lòng hoàn thành câu trả lời này vì bạn cho rằng nó là tốt nhất
cm-t
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.