Flatpak > “Security Nightmare”

[Moridian]

So wie es ausschaut gibt es massig Sicherheitsprobleme mit Flatpak.

    Many Flatpak apps have filesystem write permission > Viele Flatpak-Apps haben Dateisystem-Schreibrechte.
    Most Flatpak apps do not run in a sandbox > Die meisten Flatpak-Apps laufen nicht in einer Sandbox.
    Slow/no critical security updates to apps and runtimes > Langsame / keine kritischen Sicherheitsupdates für Apps und Laufzeitumgebungen.

Quelle: https://www.omgubuntu.co.uk/2018/10/new-website-claims-flatpak-is-a-security-nightmare (englisch)

Etwas ausführlicher geht es hier zur Sache:
https://flatkill.org/ (englisch)
Inklusive:  Gimp, VSCode, PyCharm, Octave, Inkscape, Steam, Audacity, VLC, ...

Habe meine Flatpak's die ich in Verwendung hatte erst einmal deinstalliert.

[aexe]

LMDE 2 Cinnamon:

Code: [Auswählen]

user@w530 ~ $ flatpak list
flatpak: command not found 
 

[ole_hilja]

Hab Gimp 2.10 (erster Test einer Flatpak-Installation) deinstalliert.

[peter_deister]

Logisch, war abzusehen. Kommt bei mir nicht drauf!

[Renalto]

Ich hatte es auf einer alten Installation mal mit Flatpack versucht, aber da wird ja Zeug installiert das mit der zu installierenden Software nix zu tunt hat.
So was brauch ich nicht und bleibe deshalb bei apt.

[NeXxGeN]

Logisch, war abzusehen. Kommt bei mir nicht drauf!

Und warum hast du uns dann nicht vorher gewarnt, wenn das so logisch und absehbar war? 

[天竜]

Und wo ist jetzt das Problem?
Als ob die ~70'000 Pakete in den Repositories alle ständig aktualisiert würden.
Normale Programme laufen auch nicht in einer Sandbox.
Und Schreibrechte muß jedes Programm haben, wenn es Daten speichern soll.

[secureIT]

Interessant in diesem Zusammenhang :

http://docs.flatpak.org/en/latest/sandbox-permissions.html

[Moridian]

Und Schreibrechte muß jedes Programm haben, wenn es Daten speichern soll.

Richtig, die Frage ist aber wo es schreiben darf. 

[dphn]

war mir schon immer suspekt. Habs noch nie probiert.

[zack_fish]

Bei einem : flatpak list , kommt absolut nix bei mir.
Vielleicht auch gut so, nach dem ich diesen Thread gelesen habe.

 

Mint 19 Cinn.

[lennartware]

Habe mich zwar schon öfter negativ über Flatpak geäußert und sehe das Ganze eher kritisch, kann aber nicht erkennen welches konkrete Problem hier aufgedeckt werden soll?
Wenn eine Flatpak "App" nicht gesandboxt ist, dann ist man eben wieder beim Status Quo: Normal (also über den Paketmanager der Distri) installierte Programme sind das ja auch nicht. Eine Flatpak App hat dann die gleichen, via DAC definierten Rechte wie halt jedes andere Programm.
Und nicht oder unzureichend behobene Sicherheitslücken findet man in jeder Distribution.
Der Subtext im Artikel ist ja irgendwie "Flatpak (im Gegensatz zu herkömmlichen Distributionsmethoden) hat Probleme", aber es folgt NOCH nichts was das demonstrieren würde. Lange nicht behobene Sicherheitslücken sind bei solchen Formaten natürlich eine Gefahr, aber ich hätte mir jetzt zumindest eine lange Liste erwartet.
Und die Umschreibung von Sicherheitslücken mit harmlos klingenden Phrasen findet man überall, von herkömmlicher Software, über systemd, hin zum Kernel.
Flatpak und Sicherheit ist etwas was man im Auge behalten kann aber der Artikel und die Website ist viel heiße Luft um nichts.

lennartware

[dphn]

gute Stellungnahme und auch einleuchtend, lennartware. Nur warum schreibt jemand dann sowas?

Könnte es vielleicht daran liegen, dass die "Flatpackerei" nicht wirklich transparent ist? Ich installiere nämlich aus dem Grund keine Flatpacks. Ich blicke da nicht durch, was so alles an meinem System geändert wird, wenn ich sowas installieren würde.

Über AppImage meckert z.B. niemand. Das ist nämlich transparent und tatsächlich eine Sandbox. Eine Datei, die du auch in deinem ~/ ablegen kannst. Willst du sie nicht mehr, wird sie gelöscht. Das ist einfach und versteht jeder.

[hadisch]

Über AppImage meckert z.B. niemand. Das ist nämlich transparent und tatsächlich eine Sandbox. Eine Datei, die du auch in deinem ~/ ablegen kannst. Willst du sie nicht mehr, wird sie gelöscht. Das ist einfach und versteht jeder.

Sehe ich genau so. Snaps, Flatpak, AppImage. AppImage scheint mir der einzig vertrauenswürdige Ansatz in diesem Reigen, von den anderen lasse ich die Finger.