( BandiG | 2018. 01. 16., k - 18:22 )

> Es az sincs mar, hogy a bongeszodbol a gnome.org-ot kell megnyitni a konfigolashoz?
> de, van olyan _is_.

Orulok, hogy belattak az abszurditasat.

> - hany bongeszo sandbox escape/ev van?
> nem tudom.

Minden evben elviszik a pwnie dijat es ez csak a jegyhegy csucsa.

> Ha jol ertem most az a bajod, hogy a bongeszovel le lehet valamit tolteni?

...

> csak az extensions.gnome.org? (fejbol meg nem mondom) oldalrol tolt [...]

Teli van a padlas XSS-el, "johiszemu" reklam/analytics halozatokon keresztuli kartekony kod terjesztessel (vilaghiru oldalakon is), backend keretrendszerbe es frontend JS-be dependency-ken keresztul berakott mokakkal, stb-stb-stb.

Mire eljut az userhez az a gnome extension ki tudja mit tartalmaz, raadasul az eredeti keszito (vagy a gepet/accat feltoro valaki) kenye kedve szerint valtozik.

A debian repobol lehuzott cuccot ezzel szemben valoszinuleg legalabb atfutotta (nem irtam komoly validaciot) az aki mar az elozo 5 verziot is (nem nullarol kezdi) es miutan eljut hozzam digitalis alairas csekkolas tortenik a dpkg altal, mielott felrakja.

A debian repo sem szent gral, de egy aknamezo bongeszo+web backend+frontend infrastrukturarol lehuzott javascript-by-verpista cucchoz kepest eg es fold.