Perché Ubuntu 18.04 è tornato a Xorg insicuro?

55

Dopo aver letto

Xorg becomes the default display server again

e considerando il rischio di sicurezza di xorg , mi chiedo perché gli sviluppatori abbiano lasciato Wayland. Il fatto che alcuni programmi non funzionino su Wayland non giustifica un simile rischio per la sicurezza. Qualsiasi programma di autorizzazione basso avrà la tua password e potranno godersela.

Qualcuno sa perché Wayland o qualsiasi altra alternativa non può continuare con Ubuntu e perché questo rischio è tollerato?

    
posta ar2015 17.04.2018 - 11:10
fonte

3 risposte

85

Lo stanno facendo perché la prossima versione è una versione LTS, il che significa che la stabilità è la preoccupazione principale. Xorg ha un buon track record di stabilità, mentre Wayland è ancora (relativamente) nuovo. Questa decisione non è permanente e non significa che Ubuntu abbia rinunciato all'uso di Wayland, solo che lo ha ritardato. Puoi anche scegliere di utilizzare Wayland anziché Xorg se lo desideri.

Da Informazioni su Ubuntu , i tre principali motivi per l'utilizzo di Xorg di default sono:

  1. Screen sharing in software like WebRTC services, Google Hangouts, Skype, etc works well under Xorg.

  2. Remote Desktop control for example RDP & VNC works well under Xorg.

  3. Recoverability from Shell crashes is less dramatic under Xorg.

Sarai comunque in grado di utilizzare Wayland ed è ancora preinstallato:

The Wayland session will still be available, pre-installed, for people to use, but for our ‘out of the box’ users the Ubuntu experience needs to be stable and provide the features they have come to expect and use in daily life and Xorg is the best choice here, at least for 18.04 LTS, but for 18.10 we will re-evaluate Wayland as the default.

    
risposta data 17.04.2018 - 11:33
fonte
28

@ La risposta di Forest è utile, ma mi piacerebbe affrontare la prospettiva della sicurezza.

Anche se esiste un rischio per la sicurezza, è probabile che sia considerato un rischio accettabile e possibilmente una funzionalità, come menzionato nel commento di @ BenCreasy. È chiaramente abbastanza accettabile tale che Xorg è stato il server di visualizzazione predefinito su molte distribuzioni per molti anni.

La preoccupazione principale sembra essere che un processo in esecuzione come un utente può registrare tutte le sequenze di tasti inserite dall'utente da altri processi, che possono includere password o altri segreti. Tuttavia, con un modello di minaccia standard, per arrivare al punto in cui è possibile utilizzarlo, ci si è già fidati e ha permesso al programma di funzionare come utente. Potrebbe fare cose più cattive di un semplice registro delle sequenze di tasti. Pertanto, mentre una semplificazione eccessiva, è come dire "c'è una vulnerabilità di sicurezza nel sistema perché l'esecuzione di questo programma dannoso mi dà un virus".

Tuttavia, questo non è il miglior modello ed è il motivo per cui Wayland tenta di risolvere il problema.

    
risposta data 17.04.2018 - 17:43
fonte
5

I am wondering why the developers left Wayland

Almeno su alcuni computer alcuni programmi non funzionano correttamente (o addirittura non funzionano affatto) quando si usa Wayland (mentre i programmi funzionano correttamente su Xorg):

La segnalazione di bug # 1731102 depositata sul sito di segnalazione di bug di Canonical "launchpad.net" descrive anche che quasi tutti i programmi tutti non funzionavano correttamente sul computer dell'utente.

(Io stesso ho avuto esperienze simili con Wayland, tuttavia solo i programmi alcuni hanno causato problemi.)

Ovviamente per gli sviluppatori di Ubuntu è più importante che Ubuntu funzioni correttamente su ogni computer piuttosto che liberarsi di un potenziale rischio per la sicurezza (non sapendo se l'uso di Wayland introdurrà nuovi rischi per la sicurezza - ovviamente).

the security risk of xorg

Il rischio per la sicurezza descritto nel tuo collegamento è presente anche in Microsoft Windows (fino a Windows 7).

Quindi forse il rischio per la sicurezza non è considerato troppo critico.

    
risposta data 18.04.2018 - 07:48
fonte

Leggi altre domande sui tag