#26 Le 15/02/2009, à 11:07
- turbo-gus
Re : Les fichiers *.desktop, dangereux ?
Oui, en effet, j'ai remarqué cela pour plusieurs images ( partition commune pour GNU/linux et windows ). Par contre, cela peut'il poser un problème de sécurité ?
Par contre le fichier .txt est pasé d'une partition ext3 vers une partition en reiserFS directement par réseau cablé...
Dernière modification par turbo-gus (Le 15/02/2009, à 11:38)
Hors ligne
#27 Le 15/02/2009, à 16:06
- Link31
Re : Les fichiers *.desktop, dangereux ?
Oui, en effet, j'ai remarqué cela pour plusieurs images ( partition commune pour GNU/linux et windows ). Par contre, cela peut'il poser un problème de sécurité ?
Pas vraiment. Un fichier quelconque ne peut être exécuté directement que s'il a le droit d'exécution, mais il faut aussi qu'il contienne un shabang suivi d'un interpréteur valide en première ligne du fichier, ce qui n'a aucune chance d'arriver avec une image. On peut aussi exécuter des fichiers selon leur extension, sans avoir besoin du shabang, mais il faut d'abord configurer le noyau pour cela (binfmt_misc), et il faut être root.
Dernière modification par Link31 (Le 15/02/2009, à 16:04)
Hors ligne
#28 Le 15/02/2009, à 16:21
- valAa
Re : Les fichiers *.desktop, dangereux ?
Salut,
Je sais pas ce que ça donne sur une ubuntu, mais sur ma Debian lorsque j'exécute gksu (à partir d'un fichier .desktop ou non), en haut de la fenêtre de demande de mot de passe on peut lire, par exemple :
l'application «/usr/sbin/synaptic» vous permet de modifier des parties importantes de votre système
J'ai effectué quelques test, et ce texte est bien basé sur le champ "exec" du fichier desktop, et pas sur la dexcription et autre champ.
Il est évident que je ne vais pas donne mon mot de passe à une application qui me dit (toujours par exemple) :
l'application «/usr/sbin/synaptic && chmod +x virus.sh» vous permet de modifier des parties importantes de votre système
Dernière modification par valAa (Le 15/02/2009, à 16:21)
Hors ligne
#29 Le 18/01/2011, à 15:23
- Sandburg
Re : Les fichiers *.desktop, dangereux ?
Pour moi, aucun danger.
Tout comme un programme java en applet java ne peut pas tout executer tandis que l'équivalent en application java peut tout faire ; un script est dit sécurisé quand l'interpréteur de script fixe des limites.
Donc normalement, un script .desktop peut s'ouvrir automatiquement (avec l'en-tete : #!/usr/bin/env xdg-open) qui choisira certainement d'executer freedesktop sur ce script (sous gnome)... (et donc ca peut etre autre chose qu'un .desktop)
Et donc c'est à freedesktop de fixer des limites, comme par exemple, si la ligne exec contient un ';' ou un '&', il sera refusé...
De plus, j'ai l'impression que depuis votre dernier message, il faut que ces scripts soient executables... et là encore tout rentre dans l'ordre.
Et sinon, un sudo (ou gksu ou tout ce que vous voulez) dans un raccourci ne fait pas apparaitre obligatoirement la chaine qui est dans le Name du .desktop, s'il est configuré entierement, c'est la ligne qui est dans Name du lanceur qui est prise... donc on doit pouvoir gruger.
Donc voilà, j'ai apporté du pour et du contre, je ne sais pas à quoi m'en tenir... si vous avez de nouveaux avis ou témoignages (surtout l'avis d'Ubuntu.org) ce serait interessant.
Hors ligne
#30 Le 18/01/2011, à 18:09
- Elzen
Re : Les fichiers *.desktop, dangereux ?
En même temps, si le truc est étiqueté comme image, et que le visualiseur d'image par défaut ne se lance pas du tout quand on double-clic (éventuellement plusieurs fois) dessus, y a de quoi se méfier, non ? (Ou s'il se lance avec un nom qui ne correspond pas à celui proposé, ou qu'il balance un gros bandeau rouge « format d'image non reconnu »).
J'veux dire que l'utilisateur qui ne fait vraiment absolument gaffe à rien ne s'en rendra sans doute pas compte, mais en même temps, l'utilisateur qui ne fait vraiment absolument gaffe à rien, il n'est pas sorti de l'auberge niveau sécurité. Et par contre, si on fait quand même un minimum gaffe, même sais être parano, y a largement moyen de se rendre compte de quelque chose.
Elzen : polisson, polémiste, polymathe ! (ex-ArkSeth)
Un script pour améliorer quelques trucs du forum.
La joie de t'avoir connu surpasse la peine de t'avoir perdu…
timezone[blocklist]
Hors ligne
#31 Le 18/01/2011, à 22:42
- jeromeg
Re : Les fichiers *.desktop, dangereux ?
Rien de nouveau sous les tropiques, cet article contient de nombreuses informations sur le sujet : http://www.geekzone.co.nz/foobar/6229
Hors ligne
#32 Le 19/01/2011, à 10:47
- valAa
Re : Les fichiers *.desktop, dangereux ?
Rien de nouveau sous les tropiques, cet article contient de nombreuses informations sur le sujet : http://www.geekzone.co.nz/foobar/6229
Mais on peut faire mieux, comme le révèle ce blog: http://www.geekzone.co.nz/foobar/6229.
En effet, rien de neuf sous les tropiques
Dernière modification par valAa (Le 19/01/2011, à 10:48)
Hors ligne
#33 Le 19/01/2011, à 20:02
- Elzen
Re : Les fichiers *.desktop, dangereux ?
Ah ouais, tiens, j'avais même pas remarqué les dates
Elzen : polisson, polémiste, polymathe ! (ex-ArkSeth)
Un script pour améliorer quelques trucs du forum.
La joie de t'avoir connu surpasse la peine de t'avoir perdu…
timezone[blocklist]
Hors ligne
#34 Le 25/01/2011, à 12:26
- lucmars
Re : Les fichiers *.desktop, dangereux ?
Ben ouais tiens, on avait déjà fait la démo sur la premiere version d'OSX : une simple icone d'un fichier de zic contenant un script pour effacer le home.
Gaulois Matter !
Hors ligne
#35 Le 15/02/2011, à 14:00
- Bousky
Re : Les fichiers *.desktop, dangereux ?
Sauf que
*sudo programme1 & programme2
lance programme1 en root en tache de fond, puis programme2 en tant qu'utilisateur normal. Root est sauf !
Pour que programme2 soit aussi lancé en root, il faut mettre quelque chose comme
*sudo -- sh -c "programme1 & programme2"
Or gksudo affiche :
L'application « sh '-c' 'programme1 & programme2' » vous permet de modifier des parties essentielles de votre système.
Demander à l'utilisateur de lire avant de rentrer son mot de passe, c'est top ?
Linux qui plante complètement ? Plus rien ne répond ? On peut toujours le redémarrer proprement :
Alt + SysRq + REISUB (Retourne En Islande Sur Un Bateau !)
Hors ligne
#36 Le 15/02/2011, à 14:15
- kamui57
Re : Les fichiers *.desktop, dangereux ?
Ben ouais tiens, on avait déjà fait la démo sur la premiere version d'OSX : une simple icone d'un fichier de zic contenant un script pour effacer le home.
C'est vrai qu'un système ça se réinstalle, plus ou moins vite, mais des données effacées c'est plus chaud à récupérer. Et pas besoin de root pour les enlever.
Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console
Hors ligne
#37 Le 15/02/2011, à 14:20
- yohann
Re : Les fichiers *.desktop, dangereux ?
sauf que la distinction root / user, si elle est primordiale sur des systemes multi-utilisateurs, devient un simulacre de sécurité dans le cadre d'un systeme mono-utilisateur.
Le systeme, est en sécuruté, mais le commun des mortel n'a que faire du systeme qu'il peut réinstallé en 30mn, l'important pour lui sont les données, or un programme (bien ou malveillant) n'a pas besoin d'être root pour supprimer tout le repertoire utilisateur (cas amusant mais peu utile) ou pour récupérer le carnet d'addrese et l'envoyer sur un site distant afin d'avoir des adresse pour du spam, par exemple).
j.vachez, le génie du net | Soirées jeux sur Lyon | 441
++++++++++[>+++++++>++++++++++>+++<<<-]>++.>+.+++++++
..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.
Hors ligne