因为本质上是一样的

还是那句话，如果你在运行每一条 js 之前也防范那我不说什么

防范应该在运行前

我觉得没必要过于防范自己运行的程序……

我觉得没必要过于防范自己运行的程序……

* 自己实现应该是可行的，xwayland-run 做的事情不多

应该是可行的，xwayland-run 做的事情不多

应用程序沙箱也可以，依靠 namespace 来保证，最大可以把程序限制到只能与内核对话

而且我有自己的进程管理模型, xwayland-run 的不适合

spawn 外部程序不可控且慢

js 被设计在运行浏览器上，native 不一样，不是被设计运行在这些native沙盒的，所以浏览器能做更好的安全机制

话说，Wayland上有啥好用的极简的混成器推荐下吗？（Sway除外，这玩意对Nvidia没有很好的支持）

* JavaScript不具备取用提供浏览器暴露的API之外内容的能力，这一点由JavaScript实现自身来保证

JavaScript不具备取用提供浏览器暴露的API之外内容的能力，这一点由JavaScript自身来保证

不是很想引入新包

为什么要自己实现呢

只能说 native 应用程序攻击面肯定大了很多，因为能直接调用内核，不做限制的话还可以 IPC。但做好限制的话还是能好不少的

我在想能不能直接自己实现一个 xwayland-run 用

> <@telegram_824372155:nichi.co> js 同理 首先：不同

二进制程序面对的是bare metal

js 同理

> <@telegram_824372155:nichi.co> 应用程序沙箱就不能有吗（ 因为完全有效的应用程序沙箱不存在

而且怎么让用户能够方便地授权, 并且阻止打包者乱搞

一些风险网站你最好别点进去

应用程序沙箱就不能有吗（

这个比较合理, 但是想要避免 break stuff 会比较麻烦

> <@telegram_824372155:nichi.co> 如果你的浏览器禁用 js 的话，那我认同这句话 浏览器具有合理的安全模型，我在编写JavaScript程序时已经撞过无数回了

如果你的浏览器禁用 js 的话，那我认同这句话

我觉得通常也没必要分那么细，大多数需求应该就限制一下 localhost 和局域网就足够了

* 如果已知一个软件行为不良但又必须运行，最应该做的是放进VM或物理隔离设备

如果已知一个软件行为不良，最应该做的是放进VM或物理隔离设备

现在做得不好不代表就该什么都不做了

我的观点还是用户应当自行筛选具体运行的程序，你不可能指望操作系统在没有巨大overhead的情况下有效防护恶意软件

（耸肩）

打包者不可能找到所有要访问的东西, 最后大家又是 allow all

per-app firewall 最大的问题就是我不知道闭源软件想访问什么, 并且 DNS 解析会变

无论如何flatpak是一种跨发行版发行方式，而不是个sandboxie类似物

* 就先不说中国这边，欧洲的eduVPN（教育网）强制TUN模式的

flatpak有N种方法逃逸沙箱，flathub里一部分开发工具甚至默认逃逸

如果你觉得这个软件都这么malware了，一个很容易逃逸的沙箱（flatpak）显然不是该放它的正确位置

我还是觉得这个需求比较诡异

其它本地网络 block 掉

所以理论上可以 parse resolv.conf 把 DNS 服务器 allowlist 了

怎么保证桥到正确的设备

就先不说中国这边，欧洲的eduVPN强制TUN模式的

block 本地设备还是可以考虑的... 但是怎么做到不 break 东西

在宿主机搞复杂网络配置的情况下这个方案能不能无感完成自身网络配置是个问题

> <@kimiblock:kimiblock.top> 手机上一直是 global allow/deny 也没见有啥问题) 确实

手机上一直是 global allow/deny 也没见有啥问题)

我觉得它会遇到各VM网络桥类似的问题

而且

出现异常很可能无法轻易完成清理

> <@kimiblock:kimiblock.top> 我觉得作者的方案有点过于重且 fragile 了 我也觉得

我觉得作者的方案有点过于重且 fragile 了

限制网络访问吧，目前 netns 里如果不用用户空间网络栈，就没法在非特权的情况下访问网络

所以桌面端防火墙的主要目的是什么呢

https://github.com/flatpak/flatpak/issues/1202#issuecomment-3883678901 https://www.scabala.it/blog/linux-application-firewall/

AI 网红是这样的

何意味

O.O;;;

我去，现在休眠叫不醒了

不过说是已经修了？但我也不懂这是怎么修的 https://github.com/systemd/systemd/pull/38351

https://github.com/systemd/systemd/issues/37590

申必

申必

> <@telegram_544196436:nichi.co> x11。。。打扰了 ......¿

[m.image] x11。。。打扰了

而且我不理解在休眠之前 freeze cgroup 有什么用

那是已知问题，FUSE 会导致 systemd 无法 freeze cgroup

ok

判断一下 $1 是 post 还是其它就可以了

可以参考 [这个](https://github.com/Kimiblock/moeOS.config/blob/master/usr/lib/systemd/system-sleep/moeOS-dae-auto)

我这个应该是noctralia在周期性使用df监控空间，但是把rclone也统计进去了

也不知道谁加的

但实际上 mask 掉也不影响... 因为那些 service 都是 system.slice

如果你装了 nvidia-utils 那 systemd 就不会尝试 freeze slice

是不是要写个hook，在休眠前umount了

思考.jpg

可能是rclone，我rclone是用户级挂载

系统服务那确实是不会 freeze

对

systemd 没有 freeze 住 user.slice 吗

我都是写进fstab的

我的 nfs 都是 suspend 前卸载的

> <@telegram_748656009:nichi.co> 好像是因为...挂载了rclone O.O

我看到了vfs

原来如此

[m.image] image.jpeg

好像是因为...挂载了rclone

哈哈哈

对的，后台图标一多，然后QQ和微信永远一左一右

那就不行吧

拖不动的

直接拖拽试试？

我也没发现有这个功能（

我找了一下也没找到

我不记得有这个功能 (

kde的托盘应用图标能调顺序吗，比如qq和微信这些小图标，主群没人理我（

我记得我当时好像设置了一个和硬盘节能有关的东西导致睡眠唤醒卡挺久

也有可能是被什么错误卡住了，等待timeout