wtorek, 20 czerwca 2017

Aplikacje KDE pozwolą na roota. Bezpieczeństwo i wolność

Nie tak dawno - tu i ówdzie - podniosła się wrzawa, że KDE w imię bezpieczeństwa odbiera wolność użytkownikom, uniemożliwiając wykonywanie działań wymagających uprawnień administratora w aplikacjach KDE. To nic, że "problem" dotyczył wyłącznie trzech aplikacji: kate, kwrite i dolphin. To nic, że dotknął jedynie tych dystrybucji, które zaoferowały KF w wersji co najwyżej 5.33 oraz jednocześnie aplikacje z wersji 17.04.0. Jednocześnie z opublikowaniem tej wersji, zostało wprowadzone obejście, umożliwiające edycję plików wymagających uprawnień administratora przez kate i kwrite. Mimo wszystko problem był, a w zasadzie to został sztucznie rozdmuchany, zwłaszcza, że już w chwili jego (problemu) tworzenia była znana informacja na temat zmian, jakie w 2017 r. czekają KIO z KF5. Realizując założenia zmian w KIO na ten rok, już 13.05.2017 r. zostało udostępnione publicznie KF5.34, które przywróciło możliwość edycji plików wymagających uprawnień administratora przez kate i kwrite bez bez wspomnianego obejścia (gwoli pełnej informacji, KDE Applications 17.04.0 pojawiło się publicznie 20.04.2017 r.). Od tej chwili możliwe była zatem edycja np. plików systemowych, a przy próbie ich zapisu system prosił o hasło administratora. Wszystko dzięki zmianom w KIO i połączeniu go z mechanizmem polkit. Tym samym zwiększono bezpieczeństwo bez zmian funkcjonalności. Pozostał "problem" jedynie z dolphinem, który uniemożliwiał operacje na plikach systemowych (inna sprawa, że prawidłowo skompilowany krusader takich problemów nie miał i nie ma). Stąd też np. powstawały forki typu dolphin-root, różniące się od oryginału wyłącznie cofnięciem zmiany uniemożliwiającej takie działania. Ba, dolphin-root pojawił się nawet w repozytoriach niektórych dystrybucji. Śpieszę zatem donieść, że i ten "problem" przestanie niebawiem istnieć. Otóż wprowadzone niedawno przez Chinmoya Ranjana Pradhana zmiany w KIO zostały właśnie połączone z kodem KF5 i już w nadchodzącym wydaniu KF5.36 (planowane na 8.07.2017 r.) dolphin odzyska możliwość pracy również na plikach systemowych. Mechanizm wprowadzonej zmiany ten sam, jak w przypadku kate i kwrite, czyli wykorzystanie polkit. Jeśli ktoś bardzo chciałby skorzystać z tej funkcjonalności obecnie, to musiałby zbudować KF5 z git i niestety nie wystarczy samo KIO, albowiem zmiany nadchodzące w wydaniu 5.36 są na tyle duże, że nie jest możliwym budowa samego KIO z git bez zbudowania komponentów, na których się opiera. Można ewentualnie spróbować użyć udostępnionych patchy (dla dolphin), jednakże ich wbudowanie wymaga również spatchowanej wersji KIO (tj. dodania tych funkcjonalności, które właśnie zostały tam wprowadzone (dot. JobUiDelegate). Teraz pozostaje mieć nadzieję, że z wprowadzonych mechanizmów z czasem zaczną korzystać inne aplikacje wykorzystujące Xy, a umożliwiające pracę w przestrzeni administratora. Problem bowiem nie jest tak trywialny, jak się niektórym wydaje, że dotyczy to tylko i wyłącznie wprowadzenia do systemu niezamierzonych zmian przez użytkownika.