Flatpak é um desastre na segurança?

Estava lendo esse site: Flatpak - a security nightmare

Os argumentos ainda são válidos? Falam tão bem dos flatpaks, mas dessa forma eu fico com receio de usar.

2 curtidas

Não é pra tanto como estar no Flatkill, nada que está lá é mentira, o principal problema do flatpak não é ter esses problemas, isso é perfeitamente compreensível, o problema é que ao ser vendido como sendo um ambiente super seguro e estável, induz o usuário a não tomar os devidos cuidados de segurança, e isso é especialmente problemático porque a medida que o Linux se torna popular entre usuários não tech-savvy vai ser um apocalipse de ransonwares, mesmo a Flathub que é fortemente moderada é frágil contra usuários mal intencionados ainda mais com a questão dos clients que acessam servidores remotos, não é mais questão de si, mas quando o linux vai ser o principal alvo de ransonwares, vale lembrar que o próprio Windows provavelmente se tornará uma das se não a principal distribuição Linux a adotar Flatpaks

4 curtidas

primeiro que o flatpak foi criado pra ser tampa buraco de um problema causado pela gpl e pela g(orda)libc, dependências externas.
gpl e g(orda)libc, as duas juntas impedem o uso da compilação estática,(que é a única coisa capaz resolver por completo os problemas de dependências).
o flatpak não tem problemas de segurança,ele tem limitações e falta de vergonha na cara de não assumir que nem todos apps rodam em sandbox.
uma solução seria implementar uma API para acesso seguro dos arquivos home quando necessário.

2 curtidas

Poderiam tentar usar o Snap, tentar fazer com que a Canonical libere uma versão não controlada por eles, sei lá.

O que fica feito é ficar falando de flatpak com esses problemas de não rodar em sandbox e pior que a Red Hat tá nesse meio. Se começar a ocorrer o que o @Natanael.755 prevê, vai ser “lindo pra cara” dessa turma.

1 curtida

eu nunca entendi essa birra com o snap.
mas acredito eu que o motivo do snap ter ficado para trás seja sua inflexibilidade comparada ao flatpak, como vc poder instalar seus apps na home. Sinto ate que o snap esteja largado .

Se isso fosse verdade nenhuma distro suportaria…não precisa de mais argumentos que isso…

2 curtidas

Alguém criou um site chamado “flatkill”? Parece que você não vai ouvir nada de positivo vindo de flatpaks por aí.

Não que eventuais problemas devam ser ignorados. Mas na pior das hipóteses, eles tem a mesma segurança que os pacotes tradicionais.

9 curtidas

TODO empacotamento é um desastre na segurança se o empacotador não tiver responsabilidade em atualizar as versões dos pacotes, com as devidas correções realizadas pelos devs. o fato de ser rpm, deb, appimage, snap ou flatpak não quer dizer nada.

4 curtidas

Geralmente pacotes Flatpak possuem algum nível de sandbox, ainda se você quiser “Flatseal” é um programa capaz de gerenciar as permissões, recursos entre outros de pacotes Flatpak.

3 curtidas

Maior desastre na segurança é o usuário.

4 curtidas

O conhedo bug entre a cadeira e o teclado

5 curtidas

é um site feito apenas para dar hate no flatpak? Eu procuraria mais fontes.

5 curtidas

Não existe sistema ou programa (qualquer coisa para falar a verdade ) que seja 100% seguro, todos são passiveis de falhas e o maior perigo é o usuário desatento que sai baixando e instalando qualquer cosia no PC de fontes duvidosas independente de ser deb, rpm, sna, flatpak…

Curiosamente os hates do flatpak/imageapp são os mesmos do systemd.

6 curtidas

Na verdade apresentar as falhas, mas pra muita gente mostrar os problemas de uma solução é o mesmo que xingar a mãe de quem está lendo… Anyway, se reparar bem ele elogiou quando a mentalidade dos mantenedores mudou pra melhor

3 curtidas

O que eu acho mais curioso é que o cara cita todas as referências comprovando o que ele disse, mas anyway, praticidade e corte de custos explica o motivo das distros suportarem

Não é necessariamente verdade:

De fato, a única diferença é que pacotes tradicionais são vistos como inseguros e Flatpaks como seguros, essa falsa sensação de segurança se tornou bem evidente na pandemia

2 curtidas

Os mesmos do wayland, btrfs…rs

3 curtidas

DanielFore

Founder & CEO eOS Response to flatkill.org | TheEvilSkeleton

Flatkill is FUD. See this response

Some people just don’t like change

Edit: UGH I see this so many times that I feel like we need to write a blog post about it. There’s this idea that Flatpak apps are larger and use more disk space, but this is false.

Flatpak apps have runtimes which contain common dependencies. If you’ve never downloaded a Flatpak based on a specific platform before, your very first download will be large because it has to pull in the runtime. This is no different from installing your first KDE app on a GNOME desktop with apt. It needs to pull in a ton of dependencies that you don’t already have. In elementary OS 6, the elementary runtime is already installed. So any AppCenter apps will not have to fetch an additional runtime. Most apps will not bundle additional dependencies.

Flatpak apps also make use of OSTree, which is essentially git for file systems. This has a couple neat benefits. If two flatpaks happen to bundle the same dependency that isn’t included in a runtime, Flatpak will automatically de-duplicate it on your file system. So you will not have multiple copies of the same dependency, even if apps bundle that dependency.

Additionally, Flatpaks use delta updates. This means that instead of downloading the entire new version of a package (which is what apt/deb does right now), Flatpak will only download the difference between the package you have and the updated version. So updates to flatpaks use much less network data.

One small other thing: App store metadata. With the current apt system, all App store metadata has to be compiled into a package that is downloaded every time you check for updates. So you get appstream data and icons for every app in the store, every single time you check for updates. And then there’s no guarantee that information is even up to date. With Flatpak, we get app metadata on demand, saving you a ton of bandwidth when checking for updates

3 curtidas

Creio que um dos motivos é este https://twitter.com/popey/status/1419416024953274368?s=19

1 curtida

Snap não ficou para trás, muito pelo contrário, já temos mais de 6 mil pacotes snaps e apenas 1200 pacotes flatpak.

Ou seja, Snaps estão sendo adotados massivamente se comparado ao Flatpak. Além disso, são mais de 3 mil desenvolvedores publicando na Snap Store.

Snaps não estão largados, a Canonical vem investindo em seu desenvolvimento. Recentemente foi disponibilizado as seguintes novidades, além das atualizações de praxe:

  • Novo núcleo core20, que é uma base para rodar aplicações compatíveis com o Ubuntu 20.04;
  • Adotado um novo método de compressão que permite que aplicações Snaps possam rodar tão rápido quanto aplicativos nativos. Essa é uma ótima notícia, só que vai precisar que muitos desenvolvedores refaçam o empacotamento com o novo método de compressão.

Todo dia tem novos pacotes Snaps, enquanto novos pacotes Flatpak demoram a serem disponibilizados.

O blog do Snapcraft vem recebendo novas postagens com tutoriais e informações muito úteis para os empacotadores.

2 curtidas

Snap tem a força do Ubuntu. É natural, se alguém quer chegar no linux, pensa primeiro em chegar pelo Ubuntu. Eu acho que o pessoal deveria concentrar esforços no Snap mesmo.

1 curtida