Примітка. Я працюю над командою безпеки Ubuntu і допомагав розробити історію утримання програм для Ubuntu. Я переформулював питання для наочності.
Питання: "Чи будуть пакети клацань безпечнішими щодо системи та даних користувачів, чи вони будуть однаковими?"
Відповідь: Взагалі пакети клацань безпечніші, ніж налагодження, що стосуються даних системи та користувачів.
Пакети клацань не включають сценарії підтримки, які виконуються як root при встановленні, як це роблять пакунки deb. Пакети клацань просто розпаковуються, а потім використовуються гачки, що надаються системою, якщо вони оголошені клацанням. Наприклад, клацання може оголосити про використання гачка робочого столу для створення файлу робочого столу або гачка AppArmor для створення профілю програми AppArmor. Оскільки упаковка деб має концепцію сценаріїв, що підтримуються, розроблених таким чином, щоб забезпечити широке налаштування програмного забезпечення або системи, дебетові пакети повинні встановлюватися тільки з надійного джерела, наприклад, з підписаного архіву з дистрибутиву типу Ubuntu. Пакети клацань можуть бути встановлені безпосередньо, і ви можете бути впевнені, що встановлення пакета не зруйнує вашу систему. Однак це лише частина історії. Якщо ви встановите пакет кліків з ненадійного джерела,
Справжня сила кліку полягає в тому, що він використовується в поєднанні з сховищем програмного забезпечення з чіткими політиками. Наприклад, безпека пакета кліків, встановленого в магазині додатків Ubuntu, як правило, вище, ніж у дебюту, встановленого з надійного архіву. Це пов’язано з тим, що в магазині додатків Ubuntu модель довіри вважається, що додатки вважаються ненадійними *, а політика та перевірка встановлюються для того, щоб пакети кліків у магазині мали належний маніфест безпеки і, отже, працювали під дуже суворим обмеженням. На противагу тому, що дебютувати пакети в архіві Ubuntu - довірча модель полягає в тому, що програмне забезпечення та упаковка дебюту вважаються надійними, і в цілому програмне забезпечення не працює в умовах обмеження (хоча є чимало винятків, коли профіль AppArmor постачається з програмним забезпеченням для захисту від помилок безпеки).
- Довірені пакети можуть також доставлятися через Ubuntu App Store. Хоча вони рідкі, вони, як правило, розроблені компанією Canonical і можуть або не працюватимуть під ув'язненням.
Щоб відповісти на ваші конкретні запитання:
Питання: Чи заснований клік на тій же системі, що і deb?
A: Формат пакету низького рівня для клацання дебютується. Однак упаковка клацань значно простіша тим, що вона використовує декларативний маніфест і гачки, а не традиційні файли упаковки та сценарії технічного обслуговування.
Питання: Чи може AppArmor надавати привілейований доступ до програм без взаємодії з користувачем?
Відповідь: AppArmor є кореневим і може дозволити або заборонити доступ до системних ресурсів (файлів, DBus, мереж тощо) на основі визначеної політики безпеки. Пакет кліків самостійно не потрібно для доставки маніфесту безпеки AppArmor або для доставки маніфесту безпеки AppArmor, який є "безпечним". Що робить систему безпечною, це поєднання клацання та політики магазину, який доставляє пакети кліків. Пакети клацань, доставлені через App Store Ubuntu, використовуватимуть політику AppArmor, яка дуже обмежує і не дозволяє пільгові дії за кадром (наприклад, програма, що працює за цією політикою, не може виконувати програми в системі за кадром, отримувати доступ до свого облікового запису facebook , вкрасти ключі gpg чи ssh, керувати мережами тощо)
Питання: Чи буде запропоновано користувачеві під час встановлення дати право доступу до програми, як на Android? (наприклад, "ця програма може сканувати вашу / домашню та мережу доступу")
Відповідь: Ні. Сам пакет кліків може бути встановлений без підказки за допомогою інструментів низького рівня. У Ubuntu пакети кліків слід встановлювати через магазин додатків Ubuntu (див. Вище), і через політику магазину Ubuntu App у поєднанні з можливостями клацання та системою Ubuntu немає необхідності в підказі про встановлення, що не потребують контексту. Ubuntu може це зробити, тому що програми, встановлені в магазині додатків Ubuntu, працюють у обмеженому стані (тобто вони не можуть робити погані речі за кадром), і коли додатку потрібен додатковий доступ, він робить це за допомогою контрольованих API, які можуть включати запит.
Що стосується привілейованих API, у нас є концепція надійних помічників, така що користувач матиме контекстну підказку, щоб дозволити або заборонити доступ (з (необов’язково) відкликаним кешуванням, щоб користувача не запитували кожен раз). Наприклад, якщо додатку потрібно отримати доступ до служби локації (довірений помічник), користувачеві буде запропоновано дозволити доступ у той момент, коли програма намагається використовувати службу локації, що дає контекст, щоб користувач міг зробити усвідомлене рішення. Те ж саме станеться із записом відео та аудіо. Часто нам взагалі не потрібно мати підказки безпеки, і ми можемо дозволити доступ на основі взаємодії з додатком, керованою користувачем. Наприклад, якщо програма хоче завантажити зображення, з'явиться діалогове вікно для вибору зображення. Позаду, оскільки програма не має доступу до каталогу ~ / Pictures, він використовуватиме API-концентратор вмісту, який запустить селектор файлів галереї, щоб користувач обрав зображення для завантаження. Потім контент-центр знімає зображення з галереї та надає програмі. Таким чином, немає діалогу безпеки, існує лише природна взаємодія для користувача, але за лаштунками мається на увазі прийняте довірче рішення.
З: Пов’язане з цим питанням: чи .apk та click матимуть подібну мову щодо політики та досвіду користувачів?
Відповідь: Ні, інсталяція не спонукає із зазначених вище причин. Дозволи Android та дозволи для пакетів кліків, визначених для Ubuntu, мають деякі схожість, але вони різні та реалізовані по-різному.
З: Зокрема, натисканням кнопки може додаток надсилати всі мої приватні дані по мережі без того, щоб я знав, чи це буде обмежено, щоб запобігти цьому?
Відповідь: Якщо ви встановите клацання з ненадійного джерела, так, це може зробити все, що завгодно. Якщо ви встановите клацання з Ubuntu App Store, ні, додаток не може надсилати всі ваші дані через мережу, оскільки не має до нього доступу. Звичайно, здається, що програма може робити одне і робити інше, тому якщо користувач надає доступ до сервісу локації або надає додатку доступ до зображення, то програма може злими з цими даними - але це де рейтинг / відгуки та політики безпеки App Store набувають чинності. Якщо повідомляється про такий додаток, воно буде досліджено. Якщо потрібно, додаток буде видалено з магазину, додаток буде видалено з усіх пристроїв, на яких він встановлений, і доступ до магазину додатків розробника буде відкликаний.
Питання: Чи можна сказати, що пакети кліків безпечніші, ніж деби, але менш потужні, оскільки вони більш обмежені?
A:Як видно із сказаного, відповідь не така проста. Сам клік може доставити програмне забезпечення, яке може робити все, що завгодно. Формат упаковки кліків є навмисно загальним призначенням і може використовуватися будь-якою кількістю способів і зовсім не є специфічним для Ubuntu. Для Ubuntu комбінація політик кліків, API Ubuntu, AppArmor та App Store забезпечує дуже потужне середовище для розробників, щоб доставляти програми користувачам таким чином, що це безпечно та легко для людей. Корисність самих додатків залежить від API, що пропонується додаткам базовою системою. Початковий набір API, який буде запропонований на перших телефонах Ubuntu для доставки, дозволить розробникам створювати всілякі цікаві та корисні програми, використовуючи багатий API та SDK.