Supongamos que tiene una aplicación GUI, que potencialmente puede ser demasiado curioso acerca de su entorno, como la lista de títulos de ventanas.
¿Cómo limito la capacidad de la aplicación para enumerar ventanas, capturar entradas no relacionadas, acceder al portapapeles cuando no se me solicita, preservar la mayor parte de la actividad normal?
¿Cómo doy acceso parcial y no total a X?
Como un parche inmediato, debe ejecutar dicha aplicación en un servidor X separado en un VT diferente. Esta es la única forma en que puede garantizar que la aplicación no use la API X para espiar a otros clientes. También puede probar XSELinux pero conozco muy pocas personas en el mundo que saben cómo ejecutarlo, y generalmente limita gravemente lo que puede hacer su aplicación de destino (sin mencionar el costo de etiquetar correctamente los datos de su escritorio).
Además, aún debe evitar las inyecciones de código de proceso o la introspección, y para evitar que la aplicación altere el entorno de ejecución de sus usuarios mediante el uso de un espacio aislado (necesita montaje y, al menos, espacios de nombres de IPC). Consulte Docker y MBox . Tenga en cuenta que no discuto las vulnerabilidades contra los servidores de kernel / namespaces / X, solo las capacidades de escritorio disponibles.
A más largo plazo, estará disponible el protocolo de visualización como Wayland que garantiza el aislamiento entre clientes desde el principio. Hasta entonces debemos hacer frente a la inseguridad del escritorio de Linux.