* 更常见的设计好像是鼠标移开菜单项后，二级菜单也短暂维持不到一秒，与鼠标移动路径无关

更常见的设计好像是鼠标移开菜蛋项后，二级菜单也短暂维持不到一秒，与鼠标移动路径无关

meanwhile twm & xterm: press and hold to bring up menus, drag and release to trigger

吃预制菜，预制菜有模糊(

https://fxtwitter.com/sorenblank/status/2023214633298039149

但是什么时候上模糊，没有模糊，这个可阅读性就很烂

当然我是给flatpak加了严格override，但xwayland就只能加外置隔离了

[m.image] image.jpeg

舒服

像微信的 org.kde.* 这种就是最好的体现

在沙盒层面缺失了很多自定义

flatpak第一原则是可用而非沙盒

要这种功能请直接组装加固沙盒

把flatpak当作一个加固沙盒实现，并以此作为目标强化对应功能，偏离了它的设计初衷，而且会限制flatpak自身的通用性

总感觉讨论这个的场景出现很多次了

> <@telegram_7672225115:nichi.co> 话说 kimiblock 为啥不用 flatpak 了来着 because [flatpak is not a sandbox](https://hanako.codeberg.page/)

我现在用 Wayland glfw 所以无所谓了

自己写沙盒的优势就是自由

还有就是一些杂七杂八的比如进程管理, 阻止独显唤醒, 隐藏 PCI 设备这种功能

我没有 unshare-net，而是直接在 sway 上禁用了 rootless xwayland

macOS 好像也是这样？但是 App Store 有审核（？

我是包的 hmcl，在 bwrap 里面运行一个 xwayland-run 来启动

Minecraft 的话我在用 Portable 包装的 Prism Launcher, 但其实 wrapper script 就够了

因为游戏不需要很多系统级集成，完全不需要 dbus 和 xdg-desktop-portal

我觉得最大的问题就是打包者可以默认开大洞...

只包 mc 其实挺简单的，我就是当初自己写了个脚本调用 bwrap（

具体是哪里啊 我最近在想要不要把 mc 用沙盒包起来，还在对比解决方案

因为它不好用?

nftables

啊，最后是用什么方案做的？

这位是portable开发者之一

话说 kimiblock 为啥不用 flatpak 了来着

下次发版就有防火墙了

好了, Portable 那边的部分也集成完毕

因为plasma好起来了，所以plasma好起来了(

* 你这个名字，万一被人一不小心复制粘贴到终端了怎么办

> <@telegram_357394185:nichi.co> 每周（ 你这个名字，万一被人一不小心复制了怎么办

每周（

不是每天都在好吗

cisco：报我名字得了

有些神秘的地方会劫持 1.1.1.1 到交换机管理页面

其实我就觉得netns就不应该unshare的。还是应该在host防火墙或者透明代理上做应用分流。

* 或者直接bind mount nameserver 1.1.1.1也行

万一用户无法访问 1.1.1.1 就炸了

我的qbittorrent就是这么跑的（

或者直接bind mouny “nameserver serve 1.1.1.1”也行

所以需要自己起一个 dns server 然后把配置 bind mount 进沙盒的 mountns

反正我不是很想 break stuff

netns里的程序访问不到系统的lo，dns就炸了

~~会让dns服务商发现我在用wps并使用云同步~~

netns有个问题，如果系统用的是systemd-resolved那配置就只有nameserver 127.0.0.53

~~要做到那个程度那是不是还得想想我怎么伪造数据包欺骗wps让它觉得我开了114514天大会员把高级编辑功能全给我开放了呢？~~

那感觉会漏一些信息吧，虽然沙盒里可能没法访问解析出的地址

https://try.popho.be/vpn-netns.html

所以就不屏蔽啊，系统用啥dns server程序就用啥啊。只不过屏蔽掉比如wps云服务器ip，但是wps账号认证服务器不屏蔽这种而已。

不过正如上次讨论，netns 内总还是需要一个能工作的 dns server 的，不能说屏蔽 ip 把 dns server 也屏蔽了

是在讨论把代理和网络沙盒集成在一起

netns里能设定ip屏蔽的规则就可以了。域名就放弃吧。这已经超越了沙盒的范围了。沙盒要做的是屏蔽对本地资源的访问，网络资源访问完全是另一个问题了。

以为再说用netns搓代理功能

哦我刚刚理解错了（

只要你能限制 netns 内的网络出站，那应该就可以足够安全？

我只是说这种思路

我觉得真的没必要那么拼命。

* 没啥意义，真的要对抗还怕你一个resolv.conf吗？ip屏蔽一下就够了。真的要拼命对抗的话连不上网app直接就退了。

我之前听过一种在 netns 里只放一个 wg 设备的做法

resolv.conf定向到localhost dns服务器，里面根据域名分流

没啥意义，真的要对抗还怕你一个resolv.conf吗？ip屏蔽一下就够了，真的要拼命对抗的话连不上网app直接就退了。

nftablrs里面固定比如192.168.90.0/24直连，192.168.91.0/24代理

这些怎么听起来都过于 fragile

其实不一定要是“fake” ip

或者配合fakeip？

也不一定，就比如可以用一个 dns server，请求来的时候去解析 dns 并修改 nftables 然后再返回结果

~~dae有ebpf分流、但是域名分流也需要用户态辅助，而且也不知道能不能实现tproxy入站。~~ 说实话不走用户态过的话那域名问题就没有办法解决了。

劫持不太好

应该可行，不过别忘了还有 nsswitch.conf

或者像目前代理软件那样，劫持udp 53

域名是否可以通过bind mount /etc/resolv.conf来解决？

而且包从 userspace 过一遍那不更是性能拉了

到时候发现 priority 不对导致各种逃逸就老实了

反而是透明代理软件……一定程度上解决了域名的问题（虽然每个解决域名的方案其实都不完美，但域名分流本来就不可能完美的）

我觉得未必不该集成在一起，不过我还没有足够的经验来回答这个问题（

那userns的netns里能单独设定nftables吗？而且这也只能针对IP、域名的问题根本没解决。

我不觉得混用这个是好事, 一个程序就只应该做一件事

可以起到一样的放行/通过作用啊，且对程序透明

那是代理, 和我防火墙就不是一个工具

怪不得这么老登，连数据目录都没有扔到 xdg base directory

呃，才发现elementX刷历史消息不显示日期……

这类网络屏蔽需求可以用分应用的透明代理实现，比如cgtproxy配任何一个支持tproxy入站的透明代理。

原来是gnome项目，难怪这么……

对

而且在GNOME集成都很高，像是可以直接右键图标查看「软件」中 Flathub 的页面

flathub 自己也长得一股 libadwaita 味

我就说为什么 flathub.org 首页 banner 推荐的程序都是 libadwaita 的

https://wiki.gnome.org/Projects/SandboxedApps it has its origins in the GNOME project and is strongly supported

原来 flatpak 曾经叫 xdg-app https://github.com/alexlarsson/xdg-app

好像 kde 没地方配像素格式

是 ycbcr 420 降采样了吗

把分辨率弄低了问题就解决了

然后内核自己把色彩输出信息减少以降低带宽，导致颜色有问题

草