URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137515
[ Назад ]
Исходное сообщение
"Пакет StarDict в Debian отправляет выделенный текст на внешние серверы "
Отправлено opennews , 04-Авг-25 22:25 
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена  проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет содержимое буфера обмена на внешние серверы. Достаточно в любом приложении выделить отрывок текста и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63677

Содержание
Сообщения в этом обсуждении
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Аноним , 04-Авг-25 22:25 
Тут понятно что само приложение - зонд тот ещё, но мантейнеры могли бы изменить настроки по умолчанию, они для таких вещей и нужны
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено СисадминА , 04-Авг-25 22:32 
Комьюнити в основном из школьников состоит. Думаешь они знают как это сделать?
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Эксконтрибутор FreeBSD , 04-Авг-25 22:35 
Коммунити Debian скорее уж из дедов которые в силу деменции не помнят где это сделать, чем из выдуманных тобой школьников
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено andy , 04-Авг-25 23:01 
Это говорит бывший контрибутор FreeBSD? Уж чья бы корова мычала.
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Эксконтрибутор FreeBSD , 04-Авг-25 23:17 
Ну я работал с FreeBSD с 1997 года(сначала как помощник админа в универе, потом админ, потом админ+коммитер в FreeBSD и так далее), с самого начала своей карьеры, сейчас мне 45. При этом если бы я продолжал коммитить в FreeBSD я бы считался одним из самых молодых, там сейчас народ под 60
В Debian тоже под 60 это норма, нет там особо молодежи
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Аноним , 04-Авг-25 23:36 
Хлоп-хлоп-хлоп.жпг
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено srgazh , 05-Авг-25 01:12 
Пруфы? Мне 46...
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Эксконтрибутор FreeBSD , 05-Авг-25 01:19 
Пруфы чего?
Тебе мой паспорт нужен?
Родился 12.06.1980 в г.Горький, РСФСР
Подозреваю, что тут вообще младше нас с тобой никого и нет тоже, сидим и трясем седыми *удями
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Аноним , 04-Авг-25 23:01 
Ты спрашиваешь почему 肖盛文 Xiao Sheng Wen (Debian Developer) не изменил настройку по умолчанию?
"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Аноним , 04-Авг-25 23:35 
>могли бы изменить

Таких УМАОДАНовцев уже полно, и внедряются именно для таких вещей.

"Пакет StarDict в Debian отправляет содержимое буфера обмена ..."
Отправлено Аноним , 05-Авг-25 00:32 
Не нравится - сам сопровождай. А мейнтейнер ради этого бэкдора пакет и сопровождает.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено СисадминА , 04-Авг-25 22:30 
Я тут уже лет 5 пишу что дебиан это глючное дно, не верили. Так оно ещё и вон как умеет
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Эксконтрибутор FreeBSD , 04-Авг-25 22:35 
Вопрос к StarDict который когда-то был перехвачен китайцами
Думаю если проверить пакет в твоем арчике или гентушечке, то будет такое же поведение
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:05 
> когда-то был перехвачен китайцами

А ты посмотри кто мэнтейнит сам Дебиан.

Вот переписка этого "бага": https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1110370

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Эксконтрибутор FreeBSD , 04-Авг-25 23:17 
А, в Дэбе те же китайцы и ведут пакет?
Ну тогда тем более нет вопросов
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено srgazh , 05-Авг-25 01:16 
И что? У нас роса и алт на спеки некоторые вообще без слез смотреть не льзя. Китай уже давно развитей нашего совка раз так в 10.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Эксконтрибутор FreeBSD , 05-Авг-25 01:20 
> И что? У нас роса и алт на спеки некоторые вообще без
> слез смотреть не льзя. Китай уже давно развитей нашего совка раз
> так в 10.

И то, что если китаец занимается софтом, то не нужно удивляться, что софт будет сливать по http содержимое буфера обмена. Для китайцев это норма

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 22:47 
>debian testing
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 04-Авг-25 23:23 
глюк от функции "сисадмин" умеет отличать?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено srgazh , 05-Авг-25 01:24 
Пруфы!
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено dannyD , 04-Авг-25 22:48 
ахренеть.... других слов посто нет...
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 22:54 
жаль, что мыши не испытывают чувства "ахренения", когда за сыром в мышеловку лезут :)
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:13 
ахренеть... Иксы позволяют приложению А воровать данные из окна приложения Б... При этом фанатики считают, что так и надо, что никакой дыры нет...
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:03 
> ахренеть... Иксы позволяют приложению А воровать данные из окна приложения Б... При
> этом фанатики считают, что так и надо, что никакой дыры нет...

Это не баг - это фича (с)
Иксофанатики еще любят рассказывать что "как классно что любое приложение может сделать скриншот любого другого!"

А на вопросы о приватности, советуют запускать несколько икс серверов)

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено АнонимЪ , 05-Авг-25 00:16 
Ну так патчи безопасности для иксов красношапка не пускала (не шутка). А в OpenBSD иксы давно такой дырени не подвержены.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:33 
ахренеть... буфер обмена между приложениями - существует! Но только в иксах и виндах. В вяленом буфера нет - безопасность не позволяет.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:38 
Аналогично и в браузерах. Будет странно если рандомные сайты будут из JS читать буфер обмена, верно? В android тоже не слышал о такой возможности. Бьюсь об заклад и в iOS тоже самое.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:45 
Эт ты мало про браузеры просто знаешь.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 01:58 
Сайты имеют доступ к буферу в двух случаях: 1) пользователь нажал Ctrl-V, 2) js-код пытается получить доступ программно, но браузер откажет в доступе, пока пользователь не нажмет "Share" в уведомлении "Share clipboard?". В иксах приложение просто берет и читает буфер, не интересуясь мнением пользователя. Далее этот текст отправляется дяденькам в интернет для дальнейшего анализа.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено dannyD , 04-Авг-25 22:58 
короче, пора закрывать доступ в сеть всем, и начинать раздавать билетики.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено anonimus , 04-Авг-25 23:07 
Как это сделать?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 04-Авг-25 23:12 
Читать мануалы по файерволу?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:08 
opensnitch
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:29 
ну вот и тема для курсача :)
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:00 
> Проблема проявляется только при работе в окружениях на базе протокола X11,

Ахаха! Дырявые иксы из 80х внезапно таки оказались дырявыми!
Надо же, кто бы мог подумать!)) Зато "просто работают"))

> при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Вот так и дожен работать современный софт.
Вначале безопасность, а потом все остальное.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:15 
Самый безопасный комп — выключенный. Начни с себя!
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:58 
Формально вы правы, но и критическое мышление каждый раз приводит к тому, что надо дистанцироваться от всего китайского.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:51 
> надо дистанцироваться от всего китайского

1. сам придумал или подсказал кто?
2. а что, есть альтернативы?!

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено поле Name , 05-Авг-25 00:51 
До слёз. Ну давай, дистанцируйся от всего китайского(95% электроники). На чей ч*ен присаживаться планируешь? Америкосов? И чем он лучше чем китайский? Может на отечественный, чтобы дистанцироваться не надо было? Или на отечественный еще страшнее?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:49 
все эти "применяется изоляция" - филькина грамота, любая программа сложнее хеловрота имеет копипасту, а посему ты для всех прог вынужден включить буфер обмена. И чем это отличается от иксов?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:09 
А вот и наглядная иллюстрация моему примеру, где калькулятор ворует пароль, вводимый в sudo в соседнем терминале, а потом отправляет куда положено в интернет. Такую дыру в безопасности надо бы чинить на уровне оконной системы, -- программа не должна иметь доступ к окнам сторонних программ. Но в иксах такое невозможно, диды задумали, что "всё доступно всем". К счастью, в вяленом таких проблем нет.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:19 
X придумали не программисты, а MIT
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:35 
В те далеки времена, чуть позже вымирания динозавров и до появления программиста разумного, все программы были на одном менйфрейме.
К которому подключали х-терминалы.
Типа такой телевизор, куда запихали шрифты, добавили клавиатуру и порты подключения.
И оно работало!
Левых программ не было, интернета практически тоже.

А потом когда стало совсем ненужным, то его спихнули тем, кто готов жрать с помойки - линуксоидам.
Которые прилепили его при помощи кода и палок.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:45 
> где калькулятор ворует пароль

Я тебя может удивлю, но чтение выделенного текста - штатная функция программы. Адаптировать её под вяленый - вопрос времени.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:02 
> Я тебя может удивлю, но чтение выделенного текста - штатная функция программы.

Без запроса на какие-то разрешения от ОС?
Или без проса иметь один буфер на всех, ну и пользователя заодно поиметь?

> Адаптировать её под вяленый - вопрос времени.

Вот когда адаптируют, тогда и поговорим)
Пока у нас тут дырявые иксы и китайские мейнтенеры деба.


"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:09 
А вместо пароля будет скопировано:
●●●●●●●●
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:11 
В XLibre это вроде как исправили
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:17 
Ой, а я же тоже пользовался этим StarDict'ом. Что теперь будет?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Голум , 04-Авг-25 23:20 
Искать свои утекшие буферы на просторах интернета.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 04-Авг-25 23:18 
У секты обиженок на свободный софт сегодня праздник. Можно полицемерить на тему того, что некоторый малварь выдаваемый за софт ничем не хуже.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:38 
> У секты обиженок на свободный софт сегодня праздник. Можно полицемерить на тему
> того, что некоторый малварь выдаваемый за софт ничем не хуже.

С чего это "полицемерить"?
Это же СВОБОДНЫЙ СОФТ!!1 Прямая противоположность проклятым проприерастам.
Тыщщи глаз лудших представителей Сообщества™ неустанно глядят в сорцы, дабы обезопасить свои репозитории!

А вот как оно получилось - дырявые иксы, слепыпошарые мейнтейнеры деба, утекшие китайцам пароли и все остальное)))


"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 05-Авг-25 00:22 
Да ты не стесняйся. Продолжай.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 01:12 
> слепыпошарые мейнтейнеры деба, утекшие китайцам пароли и все остальное)))

Почему сразу "слепошарые"?
https://packages.debian.org/bookworm/stardict
> Maintainer:    xiao sheng wen

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:32 
>по протоколу HTTP на китайские серверы

Давайте честно, разве кото-то это удивляет ?
- https://www.opennet.me/opennews/art.shtml?num=63205
- https://www.opennet.me/opennews/art.shtml?num=58613

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:41 
Недавно мой смартфон Хуавей выдал предупреждение: он сказал что в целях программы по поддержки пользователей продукции Хуавей (official user support), он передаст моё местоположение в Хуавей, хотя я не включал определение местоположения. Это вирус?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:46 
>Это вирус?

Это КПК.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 05-Авг-25 00:26 
Как ты думаешь, если его для госслужащих "США" запрещали, может основание для этого какое-то есть все таки?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:39 
т.е. любой запрет где-то чего-то - обязательно имеет основание?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 01:30 
Конечно же имело.. Только  службы на 3 буквы из одной страны должны иметь право читать переписку своих госслужащих.. и никакие Китайские или еще какие то там... поэтому всех остальных запретить. Причём для любой страны это верно

Главное чтобы это запретить касалось только гос служащих, а не всех подряд.. Но бывают варианты.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:35 
Зачем Максим перед сном настроение портит такими новостями?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:43 
> Зачем Максим перед сном настроение портит такими новостями?

Кому портит? Мне (на plasma 6 c wayland) наоборот отлично поднял настоение!
Теперь каждый раз когда иксанутые будут писать "ну и что! вот у вас хоть что-то украли??" я буду их тыкать носом в эту новость)))

Интересно, сколько тысяч или даже десятков тысяч пользователей пострадало?
А ведь они доверяли дебиллианцам...

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:38 
Тысячи глаз наконец сфокусировались!
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:40 
За такое надо удалять пакет из дистра.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 04-Авг-25 23:55 
>Обративший внимание на проблему пользователь

Значит, что Общественный договор Debian работает:
https://www.debian.org/social_contract

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:13 
> Значит, что Общественный договор Debian работает:
> https://www.debian.org/social_contract

Хм... что-то я не вижу в Договоре "мы сп**м ваши пароли, а потом так и быть, после долгих пререканий согласимся что это лажа. Пакет, кстати, удалять не будем".
Но главное он работает!


"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Ценитель GPL рогаликов , 05-Авг-25 00:30 
Т.е. соцконтракт подтверждает, что твои пароли ни кому не нужны? Обидно наверное? Никакого внимания   твоей чрезвычайно важной персоне.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:29 
Предупреждали же: по закону о разведке каждый китайский гражданин обязан помогать родной ОПГ шпионить за всеми.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 00:41 
Открытие века: онлайн словари отправляют слова на сервер! Это вы ещё Хром не инспектировали.
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 01:06 
Типичный пример стандартной малвари, построенной на принципе opt-out, а не opt-in. Правда так делают все. Гугл например. Ибо домохозяйки все равно не полезут в настройки. Правда?
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено freeperson , 05-Авг-25 01:14 
>Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Специально ждали момента перед новым stable релизом дистрибутива, чтобы потом свалить всё на X11 и похвалить хороший Wayland. Создать ещё один повод пересадить всех на недоделанный Wayland.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Эксконтрибутор FreeBSD , 05-Авг-25 01:21 
>>Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
> Специально ждали момента перед новым stable релизом дистрибутива, чтобы потом свалить всё
> на X11 и похвалить хороший Wayland. Создать ещё один повод пересадить
> всех на недоделанный Wayland.

Да-да
Кругом заговоры против тебя и рухляди

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено srgazh , 05-Авг-25 01:22 
Ну это не так уж страшно.. С учетом того что еще и выявлено. А вот представьте что в других дитсрах))) Сколько там сюрпризов. Наверное многие заноют что *все подписаны именно Debian Security! Лучшая команда!
"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Аноним , 05-Авг-25 01:36 
> на китайские серверы online-словарей dict.youdao.com и dict.cn.

Так что китайцы уже стырили все ваши логины-пароли и прочие ключи ssh, поздравляю.

> Проблема проявляется только при работе в окружениях на базе протокола X11,
> при использовании Wayland по умолчанию применяется изоляция буфера обмена.

Ага, а в вяленде заниматься такими вещами не получается.

"Пакет StarDict в Debian отправляет выделенный текст на внешн..."
Отправлено Эксконтрибутор FreeBSD , 05-Авг-25 01:41 
Ты много пользователей StarDict в реальной жизни видел?
Я помню его в 2003-2006 годах, юзал, да
Но в то время он и в сеть не умел, работал с локальными только словарями