Les fichiers *.desktop, dangereux ?

turbo-gus · Le 15/02/2009, à 11:07

Oui, en effet, j'ai remarqué cela pour plusieurs images ( partition commune pour GNU/linux et windows ). Par contre, cela peut'il poser un problème de sécurité ?
Par contre le fichier .txt est pasé d'une partition ext3 vers une partition en reiserFS directement par réseau cablé...

Dernière modification par turbo-gus (Le 15/02/2009, à 11:38)

Link31 · Le 15/02/2009, à 16:06

turbo-gus a écrit :

Oui, en effet, j'ai remarqué cela pour plusieurs images ( partition commune pour GNU/linux et windows ). Par contre, cela peut'il poser un problème de sécurité ?

Pas vraiment. Un fichier quelconque ne peut être exécuté directement que s'il a le droit d'exécution, mais il faut aussi qu'il contienne un shabang suivi d'un interpréteur valide en première ligne du fichier, ce qui n'a aucune chance d'arriver avec une image. On peut aussi exécuter des fichiers selon leur extension, sans avoir besoin du shabang, mais il faut d'abord configurer le noyau pour cela (binfmt_misc), et il faut être root.

Dernière modification par Link31 (Le 15/02/2009, à 16:04)

valAa · Le 15/02/2009, à 16:21

Salut,

Je sais pas ce que ça donne sur une ubuntu, mais sur ma Debian lorsque j'exécute gksu (à partir d'un fichier .desktop ou non), en haut de la fenêtre de demande de mot de passe on peut lire, par exemple :

gksu a écrit :

l'application «/usr/sbin/synaptic» vous permet de modifier des parties importantes de votre système

J'ai effectué quelques test, et ce texte est bien basé sur le champ "exec" du fichier desktop, et pas sur la dexcription et autre champ.
Il est évident que je ne vais pas donne mon mot de passe à une application qui me dit (toujours par exemple) :

gksu a écrit :

l'application «/usr/sbin/synaptic && chmod +x virus.sh» vous permet de modifier des parties importantes de votre système

Dernière modification par valAa (Le 15/02/2009, à 16:21)

Sandburg · Le 18/01/2011, à 15:23

Pour moi, aucun danger.
Tout comme un programme java en applet java ne peut pas tout executer tandis que l'équivalent en application java peut tout faire ; un script est dit sécurisé quand l'interpréteur de script fixe des limites.

Donc normalement, un script .desktop peut s'ouvrir automatiquement (avec l'en-tete : #!/usr/bin/env xdg-open) qui choisira certainement d'executer freedesktop sur ce script (sous gnome)... (et donc ca peut etre autre chose qu'un .desktop)
Et donc c'est à freedesktop de fixer des limites, comme par exemple, si la ligne exec contient un ';' ou un '&', il sera refusé...
De plus, j'ai l'impression que depuis votre dernier message, il faut que ces scripts soient executables... et là encore tout rentre dans l'ordre.
Et sinon, un sudo (ou gksu ou tout ce que vous voulez) dans un raccourci ne fait pas apparaitre obligatoirement la chaine qui est dans le Name du .desktop, s'il est configuré entierement, c'est la ligne qui est dans Name du lanceur qui est prise... donc on doit pouvoir gruger.

Donc voilà, j'ai apporté du pour et du contre, je ne sais pas à quoi m'en tenir... si vous avez de nouveaux avis ou témoignages (surtout l'avis d'Ubuntu.org) ce serait interessant.

Elzen · Le 18/01/2011, à 18:09

En même temps, si le truc est étiqueté comme image, et que le visualiseur d'image par défaut ne se lance pas du tout quand on double-clic (éventuellement plusieurs fois) dessus, y a de quoi se méfier, non ? (Ou s'il se lance avec un nom qui ne correspond pas à celui proposé, ou qu'il balance un gros bandeau rouge « format d'image non reconnu »).

J'veux dire que l'utilisateur qui ne fait vraiment absolument gaffe à rien ne s'en rendra sans doute pas compte, mais en même temps, l'utilisateur qui ne fait vraiment absolument gaffe à rien, il n'est pas sorti de l'auberge niveau sécurité. Et par contre, si on fait quand même un minimum gaffe, même sais être parano, y a largement moyen de se rendre compte de quelque chose.

jeromeg · Le 18/01/2011, à 22:42

Rien de nouveau sous les tropiques, cet article contient de nombreuses informations sur le sujet : http://www.geekzone.co.nz/foobar/6229

valAa · Le 19/01/2011, à 10:47

jeromeg, hier soir a écrit :

Rien de nouveau sous les tropiques, cet article contient de nombreuses informations sur le sujet : http://www.geekzone.co.nz/foobar/6229

le créateur de ce topic, il y a près de deux ans a écrit :

Mais on peut faire mieux, comme le révèle ce blog: http://www.geekzone.co.nz/foobar/6229.

En effet, rien de neuf sous les tropiques

Dernière modification par valAa (Le 19/01/2011, à 10:48)

Elzen · Le 19/01/2011, à 20:02

Ah ouais, tiens, j'avais même pas remarqué les dates

lucmars · Le 25/01/2011, à 12:26

Ben ouais tiens, on avait déjà fait la démo sur la premiere version d'OSX : une simple icone d'un fichier de zic contenant un script pour effacer le home.

Bousky · Le 15/02/2011, à 14:00

Sauf que

*sudo programme1 & programme2

lance programme1 en root en tache de fond, puis programme2 en tant qu'utilisateur normal. Root est sauf !
Pour que programme2 soit aussi lancé en root, il faut mettre quelque chose comme

*sudo -- sh -c "programme1 & programme2"

Or gksudo affiche :
L'application « sh '-c' 'programme1 & programme2' » vous permet de modifier des parties essentielles de votre système.
Demander à l'utilisateur de lire avant de rentrer son mot de passe, c'est top ?

kamui57 · Le 15/02/2011, à 14:15

lucmars a écrit :

Ben ouais tiens, on avait déjà fait la démo sur la premiere version d'OSX : une simple icone d'un fichier de zic contenant un script pour effacer le home.

C'est vrai qu'un système ça se réinstalle, plus ou moins vite, mais des données effacées c'est plus chaud à récupérer. Et pas besoin de root pour les enlever.

yohann · Le 15/02/2011, à 14:20

sauf que la distinction root / user, si elle est primordiale sur des systemes multi-utilisateurs, devient un simulacre de sécurité dans le cadre d'un systeme mono-utilisateur.
Le systeme, est en sécuruté, mais le commun des mortel n'a que faire du systeme qu'il peut réinstallé en 30mn, l'important pour lui sont les données, or un programme (bien ou malveillant) n'a pas besoin d'être root pour supprimer tout le repertoire utilisateur (cas amusant mais peu utile) ou pour récupérer le carnet d'addrese et l'envoyer sur un site distant afin d'avoir des adresse pour du spam, par exemple).

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 15/02/2009, à 11:07

Re : Les fichiers *.desktop, dangereux ?

#27 Le 15/02/2009, à 16:06

Re : Les fichiers *.desktop, dangereux ?

#28 Le 15/02/2009, à 16:21

Re : Les fichiers *.desktop, dangereux ?

#29 Le 18/01/2011, à 15:23

Re : Les fichiers *.desktop, dangereux ?

#30 Le 18/01/2011, à 18:09

Re : Les fichiers *.desktop, dangereux ?

#31 Le 18/01/2011, à 22:42

Re : Les fichiers *.desktop, dangereux ?

#32 Le 19/01/2011, à 10:47

Re : Les fichiers *.desktop, dangereux ?

#33 Le 19/01/2011, à 20:02

Re : Les fichiers *.desktop, dangereux ?

#34 Le 25/01/2011, à 12:26

Re : Les fichiers *.desktop, dangereux ?

#35 Le 15/02/2011, à 14:00

Re : Les fichiers *.desktop, dangereux ?

#36 Le 15/02/2011, à 14:15

Re : Les fichiers *.desktop, dangereux ?

#37 Le 15/02/2011, à 14:20

Re : Les fichiers *.desktop, dangereux ?

Pied de page des forums