Wat moet je daar nou van denken?

[partyrabbit]

Flatpak - a security nightmare
http://flatkill.org

Topic van Bloom tijdje terug wordt me zo wel een stuk duidelijker.
En dat van Pjotr ook. https://makkelijkelinuxtips.blogspot.com/p/schoon-mint.html#ID6

[HWE64]

In het verleden was ik ook altijd een tegenstander van Flatpak en Snap tot ik op een gegeven moment problemen had met een programma (pinta in Xubuntu liep steeds vast). Ik heb deze verwijderd en heb uit de repo de snap versie geinstalleerd en deze draait als een zonnetje .

[Rik123]

Fake, hoax, of gewoon een trol die dit schreef .. dat is het eerste wat ik denk..   

[emvedeesje]

Hier staat degelijke repliek en uitleg over de site flatkill: https://www.omgubuntu.co.uk/2018/10/new-website-claims-flatpak-is-a-security-nightmare

groeten van Michael

[MKe]

Ja, dit bevestigt direct wat ik dacht toen ik het eerste artikel las:

But if idea of Flatpaks enjoying unbridled access to your home folder may sound scary but if you install apps from PPAs, an OBS or other third-party repos you’re exposed to the exact same risks only worse — those apps will have root!

[rico70]

Ik heb de OpenShot PPA. OpenShot heeft geen root rechten, net geprobeerd

[MKe]

Maar wel op het moment dat je het installeerde.

[ed-kroket]

Er vallen mij een aantal zaken op aan die website flatkill.org:

1) Geen enkele referentie naar welke site dan ook behalve naar 3 pagina's die de CVE foutmeldingen moeten beschrijven (2x 2017 / 1x 2018) die deze hele verhaal ook onderschrijven met dezelfde bevindingen
2) Er staat nergens wie of wat deze site gemaakt heeft (credentials)
3) Er is op geen enkele wijze contact op te nemen met de maker(s) van de site
4) Het is een op een wat populistische manier geschreven alsof de maker(s) alle wijsheid in pacht hebben
5) Tot nu toe heeft allen de website omgubuntu.co.uk deze hele "verhaal" opgepakt, verder niemand. Bericht stamt uit 2018...
6) De hele website stamt uit 2018 en voor het laatst bijgewerkt in 2020 en is verder tot nu toe niet bijgewerkt

Fake, hoax, of gewoon een trol die dit schreef .. dat is het eerste wat ik denk..   

Inderdaad! Mijn idee ook!

[ed-kroket]

Ik heb de OpenShot PPA. OpenShot heeft geen root rechten, net geprobeerd

Hoe heb je dit gecontroleerd? Goed om te weten ook voor andere OpenShot gebruikers.

[ed-kroket]

Maar wel op het moment dat je het installeerde.

De installatie procedure van Linux vereist eenmaal root-access omdat programma's ook delen van programmatuur wegschrijven op plekken/mappen/folders waar jij als normale gebruiker geen rechten en toegang toe hebt.

[MKe]

Idd, maar bij flat pak werkt dat anders. Het enige wat Root rechten krijgt is flatpak zelf, niet de code binnen een image. Dat is dus anders dan bij apt, waar rootrechten gegeven wordt aan scripts in het .deb bestand.

De app-specifieke code krijgt dus bij flatpak nooit root rechten, bij apt wel.

[rico70]

Ik heb de OpenShot PPA. OpenShot heeft geen root rechten, net geprobeerd

Hoe heb je dit gecontroleerd? Goed om te weten ook voor andere OpenShot gebruikers.

OpenShot opgestart. Klein project aangemaakt en geprobeerd weg te schrijven in /
"permission denied"

[MKe]

Ja, nogal wiedes, je start hem ook met je eigen user

[HWE64]

Idd, maar bij flat pak werkt dat anders. Het enige wat Root rechten krijgt is flatpak zelf, niet de code binnen een image. Dat is dus anders dan bij apt, waar rootrechten gegeven wordt aan scripts in het .deb bestand.

De app-specifieke code krijgt dus bij flatpak nooit root rechten, bij apt wel.

Dus dan is een flatpak veiliger dan een .deb bestand of zie ik dat verkeerd?

[rico70]

Volgens mij heeft mke het net verkeerd om geschreven

[MKe]

Idd, maar bij flat pak werkt dat anders. Het enige wat Root rechten krijgt is flatpak zelf, niet de code binnen een image. Dat is dus anders dan bij apt, waar rootrechten gegeven wordt aan scripts in het .deb bestand.

De app-specifieke code krijgt dus bij flatpak nooit root rechten, bij apt wel.

Dus dan is een flatpak veiliger dan een .deb bestand of zie ik dat verkeerd?

In theorie wel. Afhankelijk van waar je het vandaan hebt natuurlijk. Deb bestanden van de officiele Ubuntu repo's zouden veiliger moeten zijn omdat ze gescreened zijn op eventuele veiligheidslekken en hopelijk door Canonical up-to-date gehouden worden.
Dus eigelijk, als je programma's uit een onbetrouwbare bron installeerd (ppa/web-download) dan kan een flatpak net iets minder kwaad doen dan een .deb.

Maar bij veiligheid gaat het natuurlijk om veel meer, bijvoorbeeld: hoe up-to-date is je software. Daarbij mag je bij officiele Ubuntu pakketten ervan uitgaan dat zij alle veiligheidslekken dichten. Bij repo's die door de ontwikkelaars zelf worden onderhouden (ppa, appimage, flatpak etc) is dat wat minder vanzelf sprekend. Maar bij de bekende pakketten als GIMP e.d. hoop ik dat dat wel het geval is.

Ik denk dat het veilig is om te zeggen dat software uit de officiële repo’s altijd de voorkeur geniet. Bij het gebruik van ppa’s  of flatpak’s is het een grijs gebied. Losse .deb bestanden zou je altijd moeten mijden tenzij je het echt weet wat je doet.

[HWE64]

@MKe, maar dan heb ik nog een moeilijker vraag : ik heb KeepassXC geinstalleerd uit de repo, flatpak en versie 2.6.4. In de ubuntu software via synaptic staat er een veel oudere namelijk 2.4.3. Op de website van Keepass staat ook de 2.6.4 als laatste versie. Welke is nu de veiligste? Als het de 2.4.3 is maar die is niet bijgehouden.

[MKe]

@MKe, maar dan heb ik nog een moeilijker vraag : ik heb KeepassXC geinstalleerd uit de repo, flatpak en versie 2.6.4. In de ubuntu software via synaptic staat er een veel oudere namelijk 2.4.3. Op de website van Keepass staat ook de 2.6.4 als laatste versie. Welke is nu de veiligste? Als het de 2.4.3 is maar die is niet bijgehouden.

Ook dat is weer niet zo makkelijk te beantwoorden. Dat hangt ten deel af van welke veranderingen er zijn gemaakt tussen 2.4 en 2.6. Zijn dat alleen maar features? Heeft 2.4 alle veiligheids updates gehad of niet. Blijkbaar vindt Ubuntu dat upgraden niet nodig of hebben ze daar een steek laten vallen?

De discussie met dit programma is ook weer anders omdat een deel van de veiligheid bestaat uit de juiste, goed geïmplementeerde encryptie algoritmen. Dat is veiligheid op een ander niveau.

Alles valt of staat met het release patroon van de software. Zo is Ubuntu 18.04 in principe niet minder veilig dan 20.04, omdat bij beiden nog steeds veiligheids updates worden uitgebracht. Ze worden als het ware parallel onderhouden.

[vanadium]

Blijkbaar vindt Ubuntu dat upgraden niet nodig dat s of hebben ze daar een steek laten vallen?

Dat is hetzelfde verhaal van altijd. Binnen je Ubuntuversie komen geen updates van de pakketten in de standaard softwarebronnen, behalve dan security updates. Firefox is een uitzondering op die regel. In 20.10 is de versie KeepassXC 2.6.1. Flatpak is ondertussen 2.6.4, en dat zal ook zo zijn in Ubuntu 21.04.

[MKe]

Blijkbaar vindt Ubuntu dat upgraden niet nodig dat s of hebben ze daar een steek laten vallen?

Dat is hetzelfde verhaal van altijd. Binnen je Ubuntuversie komen geen updates van de pakketten in de standaard softwarebronnen, behalve dan security updates. Firefox is een uitzondering op die regel. In 20.10 is de versie KeepassXC 2.6.1. Flatpak is ondertussen 2.6.4, en dat zal ook zo zijn in Ubuntu 21.04.

dus de vraag is hier, zijn er veiligheids upgrades geweest en zijn die toegepast?

[HWE64]

@ MKe, daar ben ik niet ter zake kundig voor.
@vanadium,Ik hou het voorlopig maar op de flatpak versie 2.6.4 en hopelijk krijgt deze ook alle updates en anders wordt je toch benadeeld door websites die gehackt worden. Kijk maar naar "Allekabels".

[vanadium]

Ik ben ook een tevreden gebruiker van de flatpak versie ;-) Flatpaks worden doorgaans zeer vlug bijgewerkt.

dus de vraag is hier, zijn er veiligheids upgrades geweest en zijn die toegepast?

Het is eenvoudig versie X die in Universe zit, en dat blijft die versie. Als de ontwikkelaar geen veiligheidsupdates doorvoert, dan verandert er ook niets in Universe. Wil je controleren of er veiligheidsupdates niet naar Universe zijn doorgesijpeld, dan moet je dit specifiek voor dat pakket doen. We moeten echter vertrouwen hebben in de community die Universe onderhoudt. Perfect zal het zeker niet zijn, maar de kans dat we helemaal de dieperik ingaan door een lekje dat er ergens (haast onvermijdelijk) nog zit, is zeer klein 

[MKe]

@ MKe, daar ben ik niet ter zake kundig voor.
@vanadium,Ik hou het voorlopig maar op de flatpak versie 2.6.4 en hopelijk krijgt deze ook alle updates en anders wordt je toch benadeeld door websites die gehackt worden. Kijk maar naar "Allekabels".

als de flatpak uit een betrouwbare bron komt zie ik geen reden om het niet te gebruiken.

[partyrabbit]

....toch benadeeld door websites die gehackt worden. Kijk maar naar "Allekabels".

Het hoeft niet eens bij websites te komen voor er van alles gelekt wordt. Het begint al bij je provider en zo, zoals ik altijd al zeg dat dat al sinds ca '95 al plaats vindt. 
Zolang er als zo nog steeds systemen draaien op dos/95/xp en medewerkers met discettes/usb-sticks gegevens over brengen ....