Secondo il sito flatkill.org, Flatpak è un incubo per la sicurezza



Flatpak è un incubo per la sicurezza. A sostenere questa tesi è l'autore del sito internet flatkill.org che, un analisi sul funzionamento di flatpak, ne mette in discussione la sua sicurezza.

Il primo punto messo in dubbio è quello relativo alla natura sandbox di flatpak. Questi tutte le applicazioni più popolari su flathub sono dotate di permessi di scrittura nella directory home dell'utente e questo significa che è di fatto possibile per le applicazioni "evadere" dalla sandbox ed eseguire codice malevolo.

Il secondo punto messo in discussione è quello relativo agli aggiornamenti di sicurezza. Molte delle vulnerabilità critiche vengono patchate in ritardo nella applicazioni flatpak.

L'autore del sito sostiene dunque che è ovvio che gli sviluppatori di Red Hat che lavorano su flatpak non si preoccupano della sicurezza ma solo dell'obiettivo, proclamato, di ottenere un sistema unico per la distribuzione delle applicazioni Linux sostituendo si sistema attuale, più sicuro, basato sui repository delle distribuzioni Linux, sistema che è una pietra  miliare della sicurezza in ambiente Linux.
Oltre a questo abbiamo anche problemi di integrazione con i desktop environment come ad esempio la dimensione dei fonts fonts o l'inserimento di caratteri in lingue orientali che non vengono supportate (il supporto a fctix è stato interrotto a partire da flatpak 1.0).

L'autore conclude la sua analisi sostenendo che si, il modo in cui vengono realizzate e distribuite le applicazioni desktop su Linux ha bisogno di essere ripensato, ma flatpak sta introducendo più problemi di quanti ne risolva.

E voi cosa ne pensate?

Per maggiori informazioni sull'argomento vi rimando alla discussione su Hacker News.

Posta un commento

Nuova Vecchia