> ALSR, W^X, различные защиты стека и т.п. со стороны компилера и прочая -
> уже давно внедрены в более-менее цивильных дистрах.это хорошо, но стоит двигаться дальше
> Линукс прекрасно юзабелен из-под лимитированного юзера. И как правило
о том и речь - так же удобно можно сделать чтоб отдельные программы сидели с раздельными правами на свой каталог настройки, на общее хранилише
>> так почему например по дефолту все пакеты должны иметь доступ к конфигам
>> других пакетов в ~/.config/ ?
> Потому что пакеты может вкатывать только рут (что логично - а чего
> это некто левый будет софт в системе тасовать?). Пакетный менеджер -
> программа с повышенными привилегиями. Она может совершать административные действия.
> Это зачастую попросту необходимо для установки пакетов.
это нифига не логично, ни то что одни программы юзерского уровня имеют доступ к другим программам юзерского уровня
ни то что пакетный менеджер запускает скрипты из пакетов под собственным юзером (рутом !!)
распаковал, сделал загончик для пакета, сбросил права до юзер_пакетНейм - запустил скрипты с пакета - вот как логично
> И да, вы не должны инсталлировать недоверяемые программы. В том числе и
> через пакетный менеджер. Если вы не доверяете репозиторию - просто не
> используйте его. А если вы ставите недоверемую программу, она так или
> иначе может вас поиметь, заэнфорсив какую-то вредную или нежелательную для вас
> логику поведения. Как еще понятнее это объяснить - я не знаю.
> Если надо нечто заведомо проблемное - ну гоняйте его на виртуалочках,
> как это те же аверы делают, например. Желательно на отдельном изолированном
> хосте, на случай если пакость шибко борзая и каким-то чудом виртуализатор
> прошибет, мало ли, баги все-таки везде бывают.
ну вот - других то нет ! нет доверенного vlc (последней версии) для убунты ! и чем линукс лучше винды тут ? так же заставляет идти на варезник (ланчпад) и не даёт из коробки средств юзеру чувствовать себя сухо и комфортно при этом, скорее даже наоборот
при том что в винде уже давно есть инфраструктура "по правой кнопке мыши запустить из песочницы" и она оказывается более защищённой (как ни странно)