> <@telegram_1071194014:nichi.co> 感觉故意应该有待商榷吧 嗯...如果它不是腾讯，我会觉得有待商榷

我也厌烦套一堆VM了

> <@telegram_824372155:nichi.co> 这个讨论也不局限于 flatpak 那我就没有意见了，期待相关解决方案

它并没有使用一个古老的Qt版本，但几乎完全不兼容Wayland

> <@kimiblock:kimiblock.top> 微信: 故意删掉 wayland module 和 portal picker y

我还是觉得这超出了flatpak的职责范围，因为这么做反而会限制flatpak的用途

* ...要如何避免闭源软件通过刻意不兼容相关API的方式阻止用户使用沙箱技术呢

> <@telegram_824372155:nichi.co> 动态授权必须要单独设计 api ...要如何确保闭源软件通过刻意不兼容相关API的方式阻止用户使用沙箱技术呢

在我看来这种需求至少应该寻求一个真正的沙箱方案

我想问一下，为什么各位一定要flatpak解决这个问题

所以...我觉得这种需求不是flatpak应该解决的，它看来也确实不是

> <@telegram_824372155:nichi.co> 我觉得限制局域网的话 mdns 一起被限制应该是预期的？ 好像确实

总感觉已经超出flatpak的职责范围了

也许之后这一点会改变

因为我不信任在相同硬件上隔离可访问资源的技术

* 是的，我目前的方法是隔离设备以及VM

> <@kimiblock:kimiblock.top> 某些闭源软件当然想方设法阻挠你使用沙盒 是的，我目前的方法是隔离设备

感觉确实有必要实现类似的功能，但能不能不break现有的东西呢

好吧，我不了解namespace能够提供的防护

> <@nyaacinth:mozilla.org> 一些风险网站你最好别点进去 .

请预先审查自己访问的内容，一些明确高危的内容不要访问

> <@telegram_7516932753:nichi.co> 虽然但是浏览器的沙盒也不是固若金汤啊 确实

我是在VM运行的，也有逃逸可能

你在bare metal上不可能实现浏览器的完全沙箱

我已经说过了

防范应该在运行前

我觉得没必要过于防范自己运行的程序……

* JavaScript不具备取用提供浏览器暴露的API之外内容的能力，这一点由JavaScript实现自身来保证

JavaScript不具备取用提供浏览器暴露的API之外内容的能力，这一点由JavaScript自身来保证

> <@telegram_824372155:nichi.co> js 同理 首先：不同

二进制程序面对的是bare metal

> <@telegram_824372155:nichi.co> 应用程序沙箱就不能有吗（ 因为完全有效的应用程序沙箱不存在

一些风险网站你最好别点进去

> <@telegram_824372155:nichi.co> 如果你的浏览器禁用 js 的话，那我认同这句话 浏览器具有合理的安全模型，我在编写JavaScript程序时已经撞过无数回了

* 如果已知一个软件行为不良但又必须运行，最应该做的是放进VM或物理隔离设备

如果已知一个软件行为不良，最应该做的是放进VM或物理隔离设备

我的观点还是用户应当自行筛选具体运行的程序，你不可能指望操作系统在没有巨大overhead的情况下有效防护恶意软件

（耸肩）

无论如何flatpak是一种跨发行版发行方式，而不是个sandboxie类似物

* 就先不说中国这边，欧洲的eduVPN（教育网）强制TUN模式的

flatpak有N种方法逃逸沙箱，flathub里一部分开发工具甚至默认逃逸

如果你觉得这个软件都这么malware了，一个很容易逃逸的沙箱（flatpak）显然不是该放它的正确位置

我还是觉得这个需求比较诡异

怎么保证桥到正确的设备

就先不说中国这边，欧洲的eduVPN强制TUN模式的

在宿主机搞复杂网络配置的情况下这个方案能不能无感完成自身网络配置是个问题

> <@kimiblock:kimiblock.top> 手机上一直是 global allow/deny 也没见有啥问题) 确实

我觉得它会遇到各VM网络桥类似的问题

而且

出现异常很可能无法轻易完成清理

> <@kimiblock:kimiblock.top> 我觉得作者的方案有点过于重且 fragile 了 我也觉得

O.O;;;

* 什么？玲珑应该也是用xdg portals的吧 EDIT: 我错了，他们没用

申必

> <@telegram_544196436:nichi.co> x11。。。打扰了 ......¿

22年开始Qt就能自动用Portals了

> <@telegram_316776268:nichi.co> 玲珑 什么？玲珑应该也是用xdg portals的吧

https://doc.qt.io/qt-6/qdesktopservices.html#openUrl

> <@telegram_1071194014:nichi.co> 感觉这用 spawn 就啥事没有了 因为微信是Qt写的，我假定他们其实完全可以选择QDesktopServices而不是在这里和xdg-open过不去

是的

不知道的还以为写的是shell script

为了调用xdg-open，自己组合shell指令执行

是很低级的字符串拼命令直接执行的缺陷

> <@linuxcn:mozilla.org> Screenshot_2026-02-11-17-31-16-888_com.ss.android.ugc.aweme.png 我这边验证成功了

思考.jpg

> <@telegram_748656009:nichi.co> 好像是因为...挂载了rclone O.O

> <@telegram_748656009:nichi.co> 我自己调查一下 🤗

vibe......

或者直接journalctl

kde的话kjournald，gnome我不知道，群友也许能举个例子

明显的错误消息之类的

有没有看journal

热血沸腾的组合技（x

硬盘如果不是机械硬盘应该没有那么大的效果吧（考虑到16G）

是不是有可能一些硬件唤醒也比较慢

* 总之有点些微的灵车

总之有点灵车

* 哦对了，这个硬件里面甚至有一部分不是用ACPI驱动的（疑似）

> <@telegram_594448145:nichi.co> bios 里面面瘦什么设置？或者干脆是厂商的 ACPI 写糊了 哦对了，这个硬件里面甚至有一部分不是用ACPI驱动的

> <@nyaacinth:mozilla.org> 直接mask hibenation，close as resolved 啊，不是回复上面那一条消息的，上下文是我发的那一条消息）））

* 直接mask hibernation，close as resolved

直接mask hibenation，close as resolved

> <@telegram_824372155:nichi.co> Linux 休眠应该是（可以）不依赖固件的 倒也没必要了，我不需要追求hibernation可用性） suspend在我这可以续航14-20+天

放弃思考了

Windows也是这个状态

Linux的体现是指纹识别、摄像头、麦克风和一部分USB接口死掉

不过我捕捉不到Windows在这个过程中发生了什么

至少我这边Linux和Windows行为相同，所以可能我之前描述的配置只在这个硬件组合上生效

思考^2

这台机器Windows安装后不通过命令行是无法启用hibernation的，说明微软也知道这个问题

也许是厂商的锅了？

> <@telegram_594448145:nichi.co> 没恢复就是没调对 Windows具有相同行为

我理解这个过程，而且我在上一个使用Linux的硬件上就是将hibernation作为默认选项的

那我应该是理解错了

抱歉

因为在我的这台机器上Windows不允许用户休眠，而且强制休眠会产生以上的问题

> <@telegram_824372155:nichi.co> 没这回事 思考...

可能更多是移动平台失去了休眠能力，许多组件会因为休眠睡死，需要重新断电初始化才能恢复运作，而且这个睡死不是因为硬件驱动不良

O.O;

我才意识到，现代系统已经没有hibernation的能力了。所以刚刚移除了swap分区并启用了zram