The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Пакет StarDict в Debian отправляет выделенный текст на внешние серверы "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Пакет StarDict в Debian отправляет выделенный текст на внешние серверы "  +/
Сообщение от opennews (??), 04-Авг-25, 22:25 
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена  проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет содержимое буфера обмена на внешние серверы. Достаточно в любом приложении выделить отрывок текста и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63677

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Авг-25, 22:25   +16 +/
Тут понятно что само приложение - зонд тот ещё, но мантейнеры могли бы изменить настроки по умолчанию, они для таких вещей и нужны
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #11, #28, #54

2. Сообщение от СисадминА (?), 04-Авг-25, 22:30   –5 +/
Я тут уже лет 5 пишу что дебиан это глючное дно, не верили. Так оно ещё и вон как умеет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #25, #72

3. Сообщение от СисадминА (?), 04-Авг-25, 22:32   +/
Комьюнити в основном из школьников состоит. Думаешь они знают как это сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от Эксконтрибутор FreeBSD (?), 04-Авг-25, 22:35   +/
Коммунити Debian скорее уж из дедов которые в силу деменции не помнят где это сделать, чем из выдуманных тобой школьников
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12

5. Сообщение от Эксконтрибутор FreeBSD (?), 04-Авг-25, 22:35   +1 +/
Вопрос к StarDict который когда-то был перехвачен китайцами
Думаю если проверить пакет в твоем арчике или гентушечке, то будет такое же поведение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

6. Сообщение от Аноним (-), 04-Авг-25, 22:47    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от dannyD (?), 04-Авг-25, 22:48   +/
ахренеть.... других слов посто нет...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #17

8. Сообщение от Аноним (8), 04-Авг-25, 22:54   +/
жаль, что мыши не испытывают чувства "ахренения", когда за сыром в мышеловку лезут :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от dannyD (?), 04-Авг-25, 22:58   +/
короче, пора закрывать доступ в сеть всем, и начинать раздавать билетики.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

10. Сообщение от Аноним (-), 04-Авг-25, 23:00   –5 +/
> Проблема проявляется только при работе в окружениях на базе протокола X11,

Ахаха! Дырявые иксы из 80х внезапно таки оказались дырявыми!
Надо же, кто бы мог подумать!)) Зато "просто работают"))

> при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Вот так и дожен работать современный софт.
Вначале безопасность, а потом все остальное.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #60

11. Сообщение от Аноним (11), 04-Авг-25, 23:01   +6 +/
Ты спрашиваешь почему 肖盛文 Xiao Sheng Wen (Debian Developer) не изменил настройку по умолчанию?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от andy (??), 04-Авг-25, 23:01   +2 +/
Это говорит бывший контрибутор FreeBSD? Уж чья бы корова мычала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

13. Сообщение от Аноним (11), 04-Авг-25, 23:05   +1 +/
> когда-то был перехвачен китайцами

А ты посмотри кто мэнтейнит сам Дебиан.

Вот переписка этого "бага": https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1110370

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #20

14. Сообщение от anonimus (?), 04-Авг-25, 23:07   +/
Как это сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16, #44, #52

15. Сообщение от Аноним (17), 04-Авг-25, 23:09   +/
А вот и наглядная иллюстрация моему примеру, где калькулятор ворует пароль, вводимый в sudo в соседнем терминале, а потом отправляет куда положено в интернет. Такую дыру в безопасности надо бы чинить на уровне оконной системы, -- программа не должна иметь доступ к окнам сторонних программ. Но в иксах такое невозможно, диды задумали, что "всё доступно всем". К счастью, в вяленом таких проблем нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #36, #45, #46

16. Сообщение от Ценитель GPL рогаликовemail (?), 04-Авг-25, 23:12   +1 +/
Читать мануалы по файерволу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Аноним (17), 04-Авг-25, 23:13   +/
ахренеть... Иксы позволяют приложению А воровать данные из окна приложения Б... При этом фанатики считают, что так и надо, что никакой дыры нет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #43, #48, #55

18. Сообщение от Аноним (18), 04-Авг-25, 23:15   +4 +/
Самый безопасный комп — выключенный. Начни с себя!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

19. Сообщение от Эксконтрибутор FreeBSD (?), 04-Авг-25, 23:17   +/
Ну я работал с FreeBSD с 1997 года(сначала как помощник админа в универе, потом админ, потом админ+коммитер в FreeBSD и так далее), с самого начала своей карьеры, сейчас мне 45. При этом если бы я продолжал коммитить в FreeBSD я бы считался одним из самых молодых, там сейчас народ под 60
В Debian тоже под 60 это норма, нет там особо молодежи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #64

20. Сообщение от Эксконтрибутор FreeBSD (?), 04-Авг-25, 23:17   +1 +/
А, в Дэбе те же китайцы и ведут пакет?
Ну тогда тем более нет вопросов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #67

21. Сообщение от Аноним (23), 04-Авг-25, 23:17   +/
Ой, а я же тоже пользовался этим StarDict'ом. Что теперь будет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

22. Сообщение от Ценитель GPL рогаликовemail (?), 04-Авг-25, 23:18   –1 +/
У секты обиженок на свободный софт сегодня праздник. Можно полицемерить на тему того, что некоторый малварь выдаваемый за софт ничем не хуже.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

23. Сообщение от Аноним (23), 04-Авг-25, 23:19   –1 +/
X придумали не программисты, а MIT
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27

24. Сообщение от Голум (?), 04-Авг-25, 23:20   +/
Искать свои утекшие буферы на просторах интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Ценитель GPL рогаликовemail (?), 04-Авг-25, 23:23   +/
глюк от функции "сисадмин" умеет отличать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

26. Сообщение от Аноним (28), 04-Авг-25, 23:32   +/
>по протоколу HTTP на китайские серверы

Давайте честно, разве кото-то это удивляет ?
- https://www.opennet.me/opennews/art.shtml?num=63205
- https://www.opennet.me/opennews/art.shtml?num=58613

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

27. Сообщение от Аноним (-), 04-Авг-25, 23:35    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от Аноним (28), 04-Авг-25, 23:35   –1 +/
>могли бы изменить

Таких УМАОДАНовцев уже полно, и внедряются именно для таких вещей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

29. Сообщение от Аноним (23), 04-Авг-25, 23:35   +/
Зачем Максим перед сном настроение портит такими новостями?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

30. Сообщение от Аноним (30), 04-Авг-25, 23:36   –1 +/
Хлоп-хлоп-хлоп.жпг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

31. Сообщение от Аноним (30), 04-Авг-25, 23:38   +/
Тысячи глаз наконец сфокусировались!
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (-), 04-Авг-25, 23:38   +/
> У секты обиженок на свободный софт сегодня праздник. Можно полицемерить на тему
> того, что некоторый малварь выдаваемый за софт ничем не хуже.

С чего это "полицемерить"?
Это же СВОБОДНЫЙ СОФТ!!1 Прямая противоположность проклятым проприерастам.
Тыщщи глаз лудших представителей Сообщества™ неустанно глядят в сорцы, дабы обезопасить свои репозитории!

А вот как оно получилось - дырявые иксы, слепыпошарые мейнтейнеры деба, утекшие китайцам пароли и все остальное)))


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #49, #65

33. Сообщение от Аноним (30), 04-Авг-25, 23:40   +2 +/
За такое надо удалять пакет из дистра.
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (23), 04-Авг-25, 23:41   +/
Недавно мой смартфон Хуавей выдал предупреждение: он сказал что в целях программы по поддержки пользователей продукции Хуавей (official user support), он передаст моё местоположение в Хуавей, хотя я не включал определение местоположения. Это вирус?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #37, #50

35. Сообщение от Аноним (-), 04-Авг-25, 23:43    Скрыто ботом-модератором–2 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

36. Сообщение от Аноним (36), 04-Авг-25, 23:45   +/
> где калькулятор ворует пароль

Я тебя может удивлю, но чтение выделенного текста - штатная функция программы. Адаптировать её под вяленый - вопрос времени.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #42

37. Сообщение от Аноним (28), 04-Авг-25, 23:46   +/
>Это вирус?

Это КПК.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Аноним (28), 04-Авг-25, 23:55   +/
>Обративший внимание на проблему пользователь

Значит, что Общественный договор Debian работает:
https://www.debian.org/social_contract

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

41. Сообщение от Аноним (28), 04-Авг-25, 23:58   +/
Формально вы правы, но и критическое мышление каждый раз приводит к тому, что надо дистанцироваться от всего китайского.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #61, #62

42. Сообщение от Аноним (-), 05-Авг-25, 00:02   +/
> Я тебя может удивлю, но чтение выделенного текста - штатная функция программы.

Без запроса на какие-то разрешения от ОС?
Или без проса иметь один буфер на всех, ну и пользователя заодно поиметь?

> Адаптировать её под вяленый - вопрос времени.

Вот когда адаптируют, тогда и поговорим)
Пока у нас тут дырявые иксы и китайские мейнтенеры деба.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

43. Сообщение от Аноним (-), 05-Авг-25, 00:03   +/
> ахренеть... Иксы позволяют приложению А воровать данные из окна приложения Б... При
> этом фанатики считают, что так и надо, что никакой дыры нет...

Это не баг - это фича (с)
Иксофанатики еще любят рассказывать что "как классно что любое приложение может сделать скриншот любого другого!"

А на вопросы о приватности, советуют запускать несколько икс серверов)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

44. Сообщение от Аноним (44), 05-Авг-25, 00:08   +1 +/
opensnitch
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

45. Сообщение от Аноним (45), 05-Авг-25, 00:09   +/
А вместо пароля будет скопировано:
●●●●●●●●
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

46. Сообщение от Аноним (23), 05-Авг-25, 00:11   –1 +/
В XLibre это вроде как исправили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

47. Сообщение от Аноним (-), 05-Авг-25, 00:13   +/
> Значит, что Общественный договор Debian работает:
> https://www.debian.org/social_contract

Хм... что-то я не вижу в Договоре "мы сп**м ваши пароли, а потом так и быть, после долгих пререканий согласимся что это лажа. Пакет, кстати, удалять не будем".
Но главное он работает!


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #53

48. Сообщение от АнонимЪ (?), 05-Авг-25, 00:16   +1 +/
Ну так патчи безопасности для иксов красношапка не пускала (не шутка). А в OpenBSD иксы давно такой дырени не подвержены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

49. Сообщение от Ценитель GPL рогаликовemail (?), 05-Авг-25, 00:22    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

50. Сообщение от Ценитель GPL рогаликовemail (?), 05-Авг-25, 00:26   +/
Как ты думаешь, если его для госслужащих "США" запрещали, может основание для этого какое-то есть все таки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #57, #73

51. Сообщение от Аноним (54), 05-Авг-25, 00:29   –1 +/
Предупреждали же: по закону о разведке каждый китайский гражданин обязан помогать родной ОПГ шпионить за всеми.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (8), 05-Авг-25, 00:29   +/
ну вот и тема для курсача :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

53. Сообщение от Ценитель GPL рогаликовemail (?), 05-Авг-25, 00:30   +/
Т.е. соцконтракт подтверждает, что твои пароли ни кому не нужны? Обидно наверное? Никакого внимания   твоей чрезвычайно важной персоне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Аноним (54), 05-Авг-25, 00:32   +/
Не нравится - сам сопровождай. А мейнтейнер ради этого бэкдора пакет и сопровождает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

55. Сообщение от Аноним (55), 05-Авг-25, 00:33   +/
ахренеть... буфер обмена между приложениями - существует! Но только в иксах и виндах. В вяленом буфера нет - безопасность не позволяет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #56

56. Сообщение от Аноним (56), 05-Авг-25, 00:38   +/
Аналогично и в браузерах. Будет странно если рандомные сайты будут из JS читать буфер обмена, верно? В android тоже не слышал о такой возможности. Бьюсь об заклад и в iOS тоже самое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

57. Сообщение от Аноним (55), 05-Авг-25, 00:39   +1 +/
т.е. любой запрет где-то чего-то - обязательно имеет основание?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

58. Сообщение от Аноним (55), 05-Авг-25, 00:41   +/
Открытие века: онлайн словари отправляют слова на сервер! Это вы ещё Хром не инспектировали.
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от Аноним (55), 05-Авг-25, 00:45   +/
Эт ты мало про браузеры просто знаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #76

60. Сообщение от Аноним (55), 05-Авг-25, 00:49    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

61. Сообщение от Аноним (55), 05-Авг-25, 00:51   +/
> надо дистанцироваться от всего китайского

1. сам придумал или подсказал кто?
2. а что, есть альтернативы?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

62. Сообщение от поле Name (?), 05-Авг-25, 00:51    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

63. Сообщение от Аноним (63), 05-Авг-25, 01:06   +/
Типичный пример стандартной малвари, построенной на принципе opt-out, а не opt-in. Правда так делают все. Гугл например. Ибо домохозяйки все равно не полезут в настройки. Правда?
Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от srgazh (ok), 05-Авг-25, 01:12   +/
Пруфы? Мне 46...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #68

65. Сообщение от Аноним (65), 05-Авг-25, 01:12   +/
> слепыпошарые мейнтейнеры деба, утекшие китайцам пароли и все остальное)))

Почему сразу "слепошарые"?
https://packages.debian.org/bookworm/stardict
> Maintainer:    xiao sheng wen

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

66. Сообщение от freeperson (?), 05-Авг-25, 01:14   +/
>Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Специально ждали момента перед новым stable релизом дистрибутива, чтобы потом свалить всё на X11 и похвалить хороший Wayland. Создать ещё один повод пересадить всех на недоделанный Wayland.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

67. Сообщение от srgazh (ok), 05-Авг-25, 01:16   +1 +/
И что? У нас роса и алт на спеки некоторые вообще без слез смотреть не льзя. Китай уже давно развитей нашего совка раз так в 10.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #69

68. Сообщение от Эксконтрибутор FreeBSD (?), 05-Авг-25, 01:19   +/
Пруфы чего?
Тебе мой паспорт нужен?
Родился 12.06.1980 в г.Горький, РСФСР
Подозреваю, что тут вообще младше нас с тобой никого и нет тоже, сидим и трясем седыми *удями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

69. Сообщение от Эксконтрибутор FreeBSD (?), 05-Авг-25, 01:20   +/
> И что? У нас роса и алт на спеки некоторые вообще без
> слез смотреть не льзя. Китай уже давно развитей нашего совка раз
> так в 10.

И то, что если китаец занимается софтом, то не нужно удивляться, что софт будет сливать по http содержимое буфера обмена. Для китайцев это норма

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

70. Сообщение от Эксконтрибутор FreeBSD (?), 05-Авг-25, 01:21   +/
>>Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
> Специально ждали момента перед новым stable релизом дистрибутива, чтобы потом свалить всё
> на X11 и похвалить хороший Wayland. Создать ещё один повод пересадить
> всех на недоделанный Wayland.

Да-да
Кругом заговоры против тебя и рухляди

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

71. Сообщение от srgazh (ok), 05-Авг-25, 01:22   +/
Ну это не так уж страшно.. С учетом того что еще и выявлено. А вот представьте что в других дитсрах))) Сколько там сюрпризов. Наверное многие заноют что *все подписаны именно Debian Security! Лучшая команда!
Ответить | Правка | Наверх | Cообщить модератору

72. Сообщение от srgazh (ok), 05-Авг-25, 01:24   +/
Пруфы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

73. Сообщение от Аноним (73), 05-Авг-25, 01:30   +/
Конечно же имело.. Только  службы на 3 буквы из одной страны должны иметь право читать переписку своих госслужащих.. и никакие Китайские или еще какие то там... поэтому всех остальных запретить. Причём для любой страны это верно

Главное чтобы это запретить касалось только гос служащих, а не всех подряд.. Но бывают варианты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

74. Сообщение от Аноним (-), 05-Авг-25, 01:36   –1 +/
> на китайские серверы online-словарей dict.youdao.com и dict.cn.

Так что китайцы уже стырили все ваши логины-пароли и прочие ключи ssh, поздравляю.

> Проблема проявляется только при работе в окружениях на базе протокола X11,
> при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Ага, а в вяленде заниматься такими вещами не получается.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

75. Сообщение от Эксконтрибутор FreeBSD (?), 05-Авг-25, 01:41   +/
Ты много пользователей StarDict в реальной жизни видел?
Я помню его в 2003-2006 годах, юзал, да
Но в то время он и в сеть не умел, работал с локальными только словарями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

76. Сообщение от Аноним (17), 05-Авг-25, 01:58   +/
Сайты имеют доступ к буферу в двух случаях: 1) пользователь нажал Ctrl-V, 2) js-код пытается получить доступ программно, но браузер откажет в доступе, пока пользователь не нажмет "Share" в уведомлении "Share clipboard?". В иксах приложение просто берет и читает буфер, не интересуясь мнением пользователя. Далее этот текст отправляется дяденькам в интернет для дальнейшего анализа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру