ubuntu 22.04 e gli snap

[derma]

..parrebbe che i binari d FF non siano alterati, tanto che si viene invitati a fare un controllo del checksum ( https://sourceforge.net/projects/ubuntu ... b/download )... inoltre il progetto viene ospitato sul forum ufficiale di Ubuntu ( https://ubuntuforums.org/forumdisplay.php?f=251 ), sebbene non sia frequentato/aggiornato.

Ubuntuzilla has a support forum on the Ubuntu Forums in the 3rd party projects area

Questo è il repository di un certo nanotube, che non sappiamo chi sia o cosa faccia, che prende i binari dal sito mozilla e li redistribuisce come .deb. Finché ci fidiamo di sto tizio e del tuo lavoro, come per ogni PPA, ok. Altrimenti...

Ma non è un repository curato da Mozilla.

https://sourceforge.net/p/ubuntuzilla/w ... e/#credits

Credits

nanotube is the developer of the scripts and repository maintainer
aysiu helped with testing and feature suggestions
kansasnoob helped with testing and feature suggestions

View Profile: nanotube - Ubuntu Forums → https://ubuntuforums.org/member.php?u=6 ... me#aboutme

Welcome to Ubuntuzilla
...

Ubuntuzilla has a support forum on the Ubuntu Forums in the 3rd party projects area, which you are encouraged to use if you have any questions, comments, or suggestions.

The packages contain unmodified official Mozilla release binaries, which fact you are encouraged to verify by comparing the checksums of package contents with checksums of the contents of the official Mozilla tar.bz2 release archives. As a matter of general principle, it is a good practice to perform some verification prior to running anything from any unfamiliar website.

[frapox]

E allora? Il fatto che sto progetto abbia un profilo sul forum di ubuntu internazionale non lo rende automaticamente più sicuro. Tutti i PPA hanno una pagina su launchpad, ma questo non li rende sicuri. Quel repository non è un canale distributivo ufficiale di Mozilla, per quanto dichiari di usare i binari di mozilla, non è garantito. Io questo ho scritto e specificato. Se uno lo valuta positivamente, bene, se no non lo usa. Visto che non tutti sono in grado di fare queste valutazioni o di controllare il checksum dei binari, consigliare di fidarsi a scatola chiusa un repository di terzi, come fa sempre qualcuno, è un rischio. Questo è il punto.

Ora, visto che non mi diverto a ripetere sempre le stesse cose che ho già scritto più e più volte, visto che una persona competente avrebbe capito benissimo quello che ho scritto, e visto che il discorso era già archiviato 4 mesi fa, direi che la discussione finisce qua.

[derma]

Ma mica l'aver postato il link all'account di "questo tizio" (sic) doveva essere inteso come forma di assicurazione del fatto che il progetto sia da ritenersi sicuro; semplicemente ci si chiedeva chi fosse "questo tizio", e "questo tizio" è semplicemnte uno che ha realizzato uno script per installare i binari di Firefox senza che questi siano stati alterati, tanto che egli stesso invita a fare un controllo tra i checksum.

Non é un canale ufficiale di Mozilla, ma se i binari sono gli stessi e l'unica "aggiunta" è uno script che evita di crearti tu i link nella tua home all'eseguibile di Firefox, scaricabile come archivio dal sito di Mozilla, non vedo la differenza dove stia.

Dato che ho sottolineato , in ogni senso, l'ovvio, e che non ci vuole molto a comprendere quanto ho riportato della Wiki di Ubuntuzialla, e considerando che, se non si conosce la lingua inglese si può sempre ricorre all'ormai ottimo Google Translate, direi proprio che possiamo archiviare il discorso , e magari con uno bello script per evitare la noia di dover ripetere qualcosa che è, o dovrebbe essere, automatico comprendere.

P.S.: La discussione non finisce qua; finisce quando un mod/admin la chiude o quando l'OP ne chiede la chiusura; quella appena intercorsa non è stata una discussione ma un non-si-sa-bene-cosa-per-cui-bastava-leggere-quanto-riportato, di certo non qualcosa che reputo divertente, anzi!

[frapox]

Non é un canale ufficiale di Mozilla, ma se i binari sono gli stessi e l'unica "aggiunta" è uno script che evita di crearti tu i link nella tua home all'eseguibile di Firefox, scaricabile come archivio dal sito di Mozilla, non vedo la differenza dove stia

La differenza sta nel fatto che un utente dev'essere informato che quel repository non è ufficiale e come tale può comportare dei rischi. Mentre lo snap e il tarball sono ufficiali e garantiti dalla stessa Mozilla. E sta nel fatto che un utente tipico non controlla il checksum che non sa neanche cos'è, ma prende a scatola chiusa e installa. Ecco dove sta la differenza. Pertanto uno Snap per quanto inefficiente o farraginoso che sia ha comunque la garanzia di provenire da una fonte fidata, e l'utente può installarlo a scatola chiusa. Oltretutto, gira in sandbox, a sua maggiore tutela.

E questo è un discorso generale che vale per qualsiasi SO tant'è che anche su Arch gli utenti vengono spinti a controllare gli AUR, in particolare gli script di installazione. Certo, uno può anche prendere e installare, sbattendosene delle raccomandazioni, ma la responsabilità è sempre in capo all'utente e bisogna specificarlo. Non infondere falsa sicurezza che siccome pincopallo ha un account sul forum X allora è sicuro.

[derma]

Non é un canale ufficiale di Mozilla, ma se i binari sono gli stessi e l'unica "aggiunta" è uno script che evita di crearti tu i link nella tua home all'eseguibile di Firefox, scaricabile come archivio dal sito di Mozilla, non vedo la differenza dove stia

La differenza sta nel fatto che un utente dev'essere informato che quel repository non è ufficiale e come tale può comportare dei rischi. Mentre lo snap e il tarball sono ufficiali e garantiti dalla stessa Mozilla. E sta nel fatto che un utente tipico non controlla il checksum che non sa neanche cos'è, ma prende a scatola chiusa e installa. Ecco dove sta la differenza. Pertanto uno Snap per quanto inefficiente o farraginoso che sia ha comunque la garanzia di provenire da una fonte fidata, e l'utente può installarlo a scatola chiusa. Oltretutto, gira in sandbox, a sua maggiore tutela.

Ma perché continuare a insinuare che ciò che viene installato tramite lo script di Ubuntuzilla sia qualcosa di "alterato" quando lo stesso maintainer del repo e sviluppatore dello script di installazione di Ubuntuzilla specifica che il tarball non è modificato, invitando a effettuare una verifica nel caso non ci si fidasse delle sue parole?


Stando a quanto viene descritto qui... https://madaidans-insecurities.github.i ... ux-sandbox ...la sandbox non è che sia 'sta garanzia, o tutela che dir si voglia... oltre al fatto che crea qualche problema con alcune estensioni, senza contare qualche "problemuccio" che si ha con VAAPI... https://bugzilla.mozilla.org/show_bug.cgi?id=1619585.

A parte quanto sopra, sempre in tema di affidabilità e sicurezza (...e di sicurezza data dalla sandbox di Firefox)...

https://www.cisecurity.org/advisory/mul ... n_2022-020

Multiple Vulnerabilities in Mozilla Firefox and Firefox Extended Support Release (ESR) Could Allow for Arbitrary Code Execution
MS-ISAC ADVISORY NUMBER:
2022-020
DATE(S) ISSUED:
02/08/2022

...

TECHNICAL SUMMARY:

Multiple vulnerabilities have been discovered in Mozilla Firefox and Firefox Extended Support Release (ESR), the most severe of which could allow for arbitrary code execution. Details of these vulnerabilities are as follows:

...
Sandboxed iframes could have executed script if the parent appended elements (CVE-2022-22759)
...

...roba fresca fresca.

[caturen]

ha comunque la garanzia di provenire da una fonte fidata, e l'utente può installarlo a scatola chiusa

questo non è vero per niente perchè degli snap presenti su snapcraft non sono fatti dagli sviluppatori originali del software, ma da terzi che mettono "a disposizione" l'applicazione. Quindi la loro "validità" è pari a qualsiasi ppa che si trova in giro.

[frapox]

Non é un canale ufficiale di Mozilla, ma se i binari sono gli stessi e l'unica "aggiunta" è uno script che evita di crearti tu i link nella tua home all'eseguibile di Firefox, scaricabile come archivio dal sito di Mozilla, non vedo la differenza dove stia

La differenza sta nel fatto che un utente dev'essere informato che quel repository non è ufficiale e come tale può comportare dei rischi. Mentre lo snap e il tarball sono ufficiali e garantiti dalla stessa Mozilla. E sta nel fatto che un utente tipico non controlla il checksum che non sa neanche cos'è, ma prende a scatola chiusa e installa. Ecco dove sta la differenza. Pertanto uno Snap per quanto inefficiente o farraginoso che sia ha comunque la garanzia di provenire da una fonte fidata, e l'utente può installarlo a scatola chiusa. Oltretutto, gira in sandbox, a sua maggiore tutela.

Ma perché continuare a insinuare che ciò che viene installato tramite lo script di Ubuntuzilla sia qualcosa di "alterato" quando lo stesso maintainer del repo e sviluppatore dello script di installazione di Ubuntuzilla specifica che il tarball non è modificato, invitando a effettuare una verifica nel caso non ci si fidasse delle sue parole?

Io non insinuo proprio niente, sto dicendo le cose come stanno.

Stando a quanto viene descritto qui... https://madaidans-insecurities.github.i ... ux-sandbox ...la sandbox non è che sia 'sta garanzia, o tutela che dir si voglia... oltre al fatto che crea qualche problema con alcune estensioni, senza contare qualche "problemuccio" che si ha con VAAPI... https://bugzilla.mozilla.org/show_bug.cgi?id=1619585.

La Sandbox che viene citata in quel post è la Sandbox di Firefox, non quella di Snap, punto primo. La discussione verteva su Snap non su Firefox. Almeno capire di cosa si sta parlando...

La Sandbox di Firefox isola l'hardware video in processi non privilegiati dal livello 2. Il livello 4 (che è quello predefinito) isola l'applicazione totalmente. Il decoding dei video utilizza il processo RDD che è un processo con molte restrizioni, quindi a meno di bug (quelli linkati dall'articolo sono stati risolti) il sistema di isolamento garantito della sandbox regge.
https://wiki.mozilla.org/Security/Sandbox#Linux

Le due citate nel post come superfici d'attacco per evadere la sandbox (X11 e Pulseaudio) sono due tecnologie obsolete, in particolare X11, motivo per cui si sta transitando verso Wayland e Pipewire. Ubuntu ci è arrivato da poco, altre distro da anni. Personalmente, ma come me molti altri, uso Pipewire da un annetto (da quando è considerato usabile) e Wayland dal 2018.

Ma tutto questo è OT visto che prima si parlava di sandbox di Snap non di Firefox, ripeto.

A parte quanto sopra, sempre in tema di affidabilità e sicurezza (...e di sicurezza data dalla sandbox di Firefox)...

Ribadisco: la sandbox di Firefox non è la sandbox di Snap. Che è uno strato ulteriore, e quindi può essere utile.

https://www.cisecurity.org/advisory/mul ... n_2022-020
...roba fresca fresca.

Va bene, torna a usare il telegramma o la posta ordinaria per comunicare, o magari il piccione viaggiatore , staccati da internet e dal PC perché RIVELAZIONE: qualsiasi software ha dei bug, anche gravi.

Se il postare questi link era teso a dimostrare che la sandbox non serve, mi spiace ma hai pezzato di brutto. Semmai hai dimostrato il contrario: proprio perché i bug esistono, e spesso non sono prevedibili, la sandbox lato app è uno strato di confinamento aggiuntivo che serve, sopratutto per i software che sono direttamente esposti ad attacchi via Internet. Snapcraft, per quanto inefficiente e farraginoso, ha questo confinamento aggiuntivo. Fine del discorso.

Io comunque non ho tempo né voglia di leggere e replicare a ogni link buttato lì a casaccio, quindi potrei anche evitare di replicare ulteriormente perché, come dicevo già post addietro, il discorso è ben chiaro e delineato a chiunque voglia capirlo.

[frapox]

ha comunque la garanzia di provenire da una fonte fidata, e l'utente può installarlo a scatola chiusa

questo non è vero per niente perchè degli snap presenti su snapcraft non sono fatti dagli sviluppatori originali del software, ma da terzi che mettono "a disposizione" l'applicazione. Quindi la loro "validità" è pari a qualsiasi ppa che si trova in giro.

Ma visto che si stava parlando di Firefox ovviamente mi riferivo allo Snap di Firefox non agli snap di altre applicazioni. Che poi anche lì, dipende, ci sono app che sono distribuite direttamente dal loro autore e altre no. Lo Snap di firefox è però sicuramente distribuito da Mozilla:

[derma]

...(something unreadable)...

Magari, se riscrivi il post, o lo editi, per evitare di discutere e indirizzarti alla mia persona anziché a ciò che ho postato, forse arriverò a leggerlo; nel modo in cui lo hai scritto è "illegibile" - anche perché molto confuso, come al solito.

Se, poi, riesci anche a non usare compulsivamente le emoticon, schiaffandole "ad muzzum" alla fine di una frase che tu credi, senza motivo peraltro, essere chissà cosa, sarebbe il non plus ultra.


P.S.: Non capirò mai certuni che scrivono di non avere tempo per leggere e rispondere, e poi puntualmente leggono e rispondono; già una tale dimostrazione di incapacità di tenere fede ai propri propositi e di incoerenza, fa capire assai, ma davvero assai. Ma tant'è (faccina che sghignazza o faccina che si deprime?).

[caturen]

Che poi anche lì, dipende, ci sono app che sono distribuite direttamente dal loro autore e altre no

appunto è quello che ho scritto, cioè snap è "affidabile" quanto un qualsiasi ppa, perchè pure quelli a volte sono aperti dagli sviluppatori del software in oggetto, mentre molto spesso sono di "ignoti". Quando cerchi un software su snapcraft lo cerchi con il suo nome e la maggior parte non va a vedere a destra chi è il reale fornitore del programma. Pensi sempre che sia la casa madre che lo fornisca. Così non è.

[frapox]

Che poi anche lì, dipende, ci sono app che sono distribuite direttamente dal loro autore e altre no

appunto è quello che ho scritto, cioè snap è "affidabile" quanto un qualsiasi ppa, perchè pure quelli a volte sono aperti dagli sviluppatori del software in oggetto, mentre molto spesso sono di "ignoti". Quando cerchi un software su snapcraft lo cerchi con il suo nome e la maggior parte non va a vedere a destra chi è il reale fornitore del programma. Pensi sempre che sia la casa madre che lo fornisca. Così non è.

Ok, però rispetto al PPA ha in più il confinamento, cosa non da poco.

Ho fatto una breve ricerca di app popolari a caso. Queste sono tutte quelle che mi sono venute in mente, pubblicate dallo sviluppatore originale:
- Spotify
- Skype
- Nextcloud
- Visual studio code
- Chromium
- Telegram
- Slack
- pycharm
oltre ai vari Libreoffice, Thunderbird, Firefox, etc.

Poi ci sono altre app popolari come: Discord, Eclipse, Android Studio, etc. che sono pubblicate dall'account certificato Snapcrafters, che dovrebbe essere un account comunitario affidabile.

Certo non ha una valenza statistica questa carrellata random ma penso che sia significativo vedere come tante app che prima non esistevano neanche per Linux ora invece ci sono, e sono a portata di click. La piattaforma non è certo priva di difetti e il formato Snap in sé è abbastanza una merda sia lato dev sia lato utente, ma in assenza di altro...

[wilecoyote]

Salve, sul Firefox snap, , considerando l'impossibilità d'installare le estensioni di terze parte, il non d'integrarsi col resto delle applicazioni, il maggior peso/ingombro nel file system, ed il rifiuto di caricare password, segnalibri, ecc. salvati da precedenti installazioni, ma sanno cosa ci possono fare col confinamento ?!

Ciao

P.S. in caso non sappiano cosa farci, si forniscono istruzioni illustrate e sottolineate…

[caturen]

ti fai una cippa del "confinamento" quanto il programma non funziona come dovuto. Come se poi il confinamento fosse una prerogativa solo di questi fantomatici snap o flatpack.
.

[frapox]

Salve, sul Firefox snap, , considerando l'impossibilità d'installare le estensioni di terze parte, il non d'integrarsi col resto delle applicazioni, il maggior peso/ingombro nel file system, ed il rifiuto di caricare password, segnalibri, ecc. salvati da precedenti installazioni, ma sanno cosa ci possono fare col confinamento ?!

Ciao

P.S. in caso non sappiano cosa farci, si forniscono istruzioni illustrate e sottolineate…

Da quello che ho verificato:
- le estensioni di terzi si installano senza problemi - verificato con uBlock origin, Simple Tab Groups e Plasma Integration. Quest'ultima pare non funzionare, non so se ci sono dei fix al momento ma non mi pare un bug grave.
- password, segnalibri, ecc. si caricano tramite Firefox Sync (che è l'opzione più semplice) oppure esportandoli in un file e reimportandoli
- "non integrarsi col resto delle applicazioni" non ho idea di cosa voglia dire; l'integrazione col sistema funziona cioè switchando al tema scuro dal tema chiaro nelle Impostazioni di Plasma, e viceversa, anche Firefox si adegua.
- l'occupazione del filesystem è un non problema nel senso che qualsiasi computer moderno ha spazio che abbonda.

Quindi delle 4 che hai scritto forse una è in parte vera.

ti fai una cippa del "confinamento" quanto il programma non funziona come dovuto. Come se poi il confinamento fosse una prerogativa solo di questi fantomatici snap o flatpack.

Nessuno ha mai scritto che il confinamento è prerogativa di Snap o Flatpak ma semplicemente l'utente qualunque, che è il target di Canonical, a fine installazione e se lo trova attivo senza far nulla e questo è un grosso pregio che non si può negare.

[wilecoyote]

Salve, dato che chi cerca trova, ecco una discussione su add-ons di Firefox e snap, .

Ciao

[emanuc]

Salve, sul Firefox snap, , considerando l'impossibilità d'installare le estensioni di terze parte, il non d'integrarsi col resto delle applicazioni, il maggior peso/ingombro nel file system, ed il rifiuto di caricare password, segnalibri, ecc. salvati da precedenti installazioni, ma sanno cosa ci possono fare col confinamento ?!

Ciao

P.S. in caso non sappiano cosa farci, si forniscono istruzioni illustrate e sottolineate…

È stato risolto con un nuovo portale, il vantaggio lo ha sia snap che flatpak.

[emanuc]

Che poi anche lì, dipende, ci sono app che sono distribuite direttamente dal loro autore e altre no

appunto è quello che ho scritto, cioè snap è "affidabile" quanto un qualsiasi ppa, perchè pure quelli a volte sono aperti dagli sviluppatori del software in oggetto, mentre molto spesso sono di "ignoti". Quando cerchi un software su snapcraft lo cerchi con il suo nome e la maggior parte non va a vedere a destra chi è il reale fornitore del programma. Pensi sempre che sia la casa madre che lo fornisca. Così non è.

Ignori varie cose rispetto a snap vs ppa:
- ppa è un repository personale dentro launchpad, quindi chiunque può crearlo e senza controllo
- lo store di Ubuntu snap ha dei revisori, assegnano il trusted a sviluppatori verificari, non è che domani arriva Ciccio e pubblica un software sullo snap store, funziona così anche su flathub
- Non puoi ignorare la maggior sicurezza by default delle app in sandbox, se installo un App da un ppa questi software hanno accesso a tutto, se lo scarichi da flathub o snap store, no ( i revisori hanno anche il compito di controllare i permessi)
- Per non parlare delle dipendenze, un ppa può incasinarti o farti disinstallare mezzo desktop se non mantenuto o mantenuto male.

[derma]

Ammetto la mia totale ignoranza riguardante snap e flathub - e anche Appimage - ma ho letto in giro, anche in questo forum, molte persone lamentare problemi aventi a che fare con il livello di permessi che tali modalità di installazione presentano; se il ".deb"/PPA viene considerato come un modo di installare che potrebbe rivelarsi pericoloso più che altro a livello di sicurezza, mentre gli altri metodi di installazione presentano un approccio più "restrittivo", cosa si fa? Uno, il ".deb"/PPA potrebbe rendere il sistema un groviera, gli altri invece, flathub snap, si rivelano essere - in molti casi - un "carcere (sperimentale)".

[emanuc]

Sono package nuovi ed è ovvio che inizialmente si riscontrino dei problemi di usabilità ma pian piano sono stati risolti ed altri ne risolveranno, ad esempio il portale per alcune estensioni dei browser, il portale per lo screencast, per l'accesso ai documenti ecc
Viene gestito tutto tramite portale e con un click in stile Android ma è ovvio che per alcune app ancora ci sono dei problemi, in quel caso scarti snap/flatpak.
Ma secondo me il vantaggio che danno è superiore ai contro, ad Esempio puoi installare Dolphin, okular su un desktop gnome senza installare mezzo KDE, non hai bisogno di aspettare il manutentore della distro X per ricevere update...

[derma]

Sono package nuovi ed è ovvio che inizialmente si riscontrino dei problemi di usabilità ma pian piano sono stati risolti ed altri ne risolveranno, ad esempio il portale per alcune estensioni dei browser, il portale per lo screencast, per l'accesso ai documenti ecc
Viene gestito tutto tramite portale e con un click in stile Android ma è ovvio che per alcune app ancora ci sono dei problemi, in quel caso scarti snap/flatpak.
...

Potresti spiegarmi, quanto più ti è possibile nel dettaglio, questo aspetto?


(Chiedo scusa per la pigrizia.)