• [^] # Re: les navigateurs moins populaires

    Posté par (Mastodon) . En réponse au lien the WebP 0day. Évalué à 5. Dernière modification le 22 septembre 2023 à 11:52.

    On peut juste comme bémol reprocher une certaine opacité de la chose. D'une part parce que toute est dans un, voire plusieurs packages runtime[1], et que les libs individuelles incorporées dedans ne sont pas directement visibles via un flatpak info et encore moins dans gnome-software. D'autre part parce que flatpak history ne donne pas de détails à part un numéro de commit et son sujet associé. Du coup pour le runtime freedesktop de flathub tu dois d'abord aller sur la page de documentation de flatpak pour apprendre que le repo est sur gitlab et prendre connaissance des commits. Et si tu utilises des paquets d'un autre repo que flathub, tu dois aller chercher ailleurs la même info.

    $ flatpak info org.fedoraproject.Platform
    Fedora Platform - Shared libraries
     ID: org.fedoraproject.Platform
     Ref: runtime/org.fedoraproject.Platform/x86_64/f38
     Arch: x86_64
     Branch: f38
     Version: 38
     License: GPL-2.0-or-later
     Origin: fedora
    Installation: system
     Installed: 2,7 Go
     Commit: 0029fdbe1a68fed69147a3c6eb242c847455e1f28b4a623f6ac27e4eb93519d4
     Subject: build of runtime/org.fedoraproject.Platform/x86_64/f38
     Date: 2023年09月12日 20:50:56 +0000
     Alt-id: 1c2b9dfb554c560bb82cb58d79f18447bd859da7d15386cbf0db83bd108b6b79
    $ flatpak history
    Time Change Application Branch Installation Remote
    sept. 15 17:06:56 deploy update org.fedoraproject.Platform f38 system fedora
    sept. 15 17:07:01 deploy update org.gnome.eog stable system fedora
    sept. 15 17:07:04 deploy update org.gnome.clocks stable system fedora
    sept. 15 17:07:06 deploy update org.gnome.Weather stable system fedora
    sept. 15 17:07:10 deploy update org.gnome.NautilusPreviewer stable system fedora
    [...]
    

    Pas super mega parlant hein. Alors oui je sais les madames et monsieurs Michus de ce bas-monde n'ont pas forcément envie ni besoin d'en savoir plus. Mais moi quand je vois un CVE avec un 0day qui est déjà confirmé en exploitation par des gens malveillants, j'aime bien savoir rapidement et facilement quelle appli utilise quelle lib et quand elle a été mise à jour. Sur un gestionnaire de paquet traditionnel, tu n'as pas non plus un changelog mais en général ça parait plus facile de trouver qu'une version du paquet a été modifié et à quelle date. Sans avoir le détail tu sais que si la version de la lib n'a pas changé mais que la version du paquet a changé, c'est qu'un backport d'une maj de secu ou d'un gros bug génant a été réalisé.

    [1] par exemple sur ma Fedora Silverblue, j'ai le runtime org.freedesktop.Platform pour des trucs installés depuis flathub mais org.fedoraproject.Platform pour ce qui vient du repo flatpak Fedora