Názory k článku Postřehy z bezpečnosti: WhatsApp spustí malware maskovaný jako obrázek

"V současné době byly pokusy o útok zaznamenány ze dvou IP adres (2a01:e5c0:3167::2 ..."

To je dost děsivé zjištění.
To je poprvé co slyším o tom že by útočníci používaly IPv6.
Doteď stačilo zakázat IPv4 a měli jste čistý internet bez reklam, spamu,...

Vypnout firewall na IPv6 se doporučuje i zde:
https://www.root.cz/clanky/o-nedostatku-ipv4-adres-vime-tricet-let-nat-mel-byt-docasnym-resenim/

Tak nevím jestli ho pro jistotu nezapnout?

V kterem alternativnim vesmiru zijete, ze iv6 byla doted bez reklam/spamu/wha­tever? Vzdyt je to nesmysl uz od pohledu.

A zkoušel jste někdy zakázat IPv4?
Nebo jen od pohledu melete nesmysly?

Pod IPv6 ještě nedávno nefungovala polovina věcí.
Ani dnes to s podporou není o moc lepší.
Mezi nefukčními jsou mimo jiné reklamní systémy.
Jednoduchý test:
https://ctrlv.cz/seeq

Běžně mi někdo z druhýho konce světa scanuje porty přes IP6.
Jen se to děje cíleně na adresy, které jsou snadno zjistitelné z AAAA, nebo uhádnutelné (adresa routeru).

Proto je dobré mít sandboxing jako flatpak. 🤘

Pokud vam nevadi zkriplene aplikace, tak prosim... Ja stravil hodinu zjistovanim, proc Firefox neleze na .local mDNS adresy. Aha, flatpak to neumi. Tak nic, no...

Súhlas. Flatpack len na nie nízko úrovňové programy (a to vrátane aj na tie ktoré používajú širokú paletu funkcií z grafického rozhrania (napr thunderbird nefunguje s pluginon systray ak je nainštalovaný ako flatpack alebo snap) ako sú CADy, hry a podobne.

V každom prípade preferujem natívne aplikacie cez deb/rpm/..... bez sanboxu. Ak je aplikácia nedôveryhodná prečo ju vôbec používať?

> thunderbird nefunguje s pluginon systray ak je nainštalovaný ako flatpack alebo snap

Systray komunikuje cez dbus a dbus nie je plne otvoreny zo sandboxu. Treba danej aplikacii pridat permission.

https://docs.flatpak.org/en/latest/desktop-integration.html#statusnotifier

> Ak je aplikácia nedôveryhodná prečo ju vôbec používať?

Skus sa na to spytat vo svete Windows ;)

V linuxe, okrem bezpecnosti sa sandbox pouziva aj na izolaciu aplikacie od operacneho systemu. Aplikacia nemusi byt zlinkovana voci presne rovnakym verziam kniznic, ako su v systeme, teda jej vyvoj moze ist inym tempom ako vyvoj operacneho systemu. Kto chce RHEL7 alebo Debian 10 tak ich moze mat, kto chce mat Fedoru alebo Arch tiez ich moze mat a aplikacie tym netrpia.

To co pisete plati pro windows taky. Uz nekdy od 3.x. A to jsem unixak. Ale ty windowsi prasismy sleduji od pocatku invaze okynkovych programatoru.

16. 4. 2025, 03:43 editováno autorem komentáře

flatpak a bezpečnost je na dlouhé povídání, ale hlavně nedělej tu chybu, že bys flatpak považoval za nějakou bezpečnou enklávu pro spouštění nedůvěryhodných aplikací. Je to spíše odstínění aplikací od sebe a odebrání některých práv, aby nedělaly příliš velký nopořádek, před záměrně škodlivými aplikacemi tě to neochrání.