中文 
watchlater
deepin
2025-08-06 08:28 deepin 看来Wayland好处多多呀
treeland 加快进度吧
Reply Like 0 View the author
All Replies
#1
WangZhongyun deepin
2025-08-06 08:41 deepin watchlater:
看来Wayland好处多多呀
treeland 加快进度吧
这本来与Wayland无关。只须禁止这种不提醒就随意上传数据的行为。
Reply Like 0 View the author
wlly-lzh
deepin
2025-08-06 10:24 deepin watchlater:
看来Wayland好处多多呀
treeland 加快进度吧
希望debian13的KDE的wayland使用体验好一点吧。
Reply Like 0 View the author
deepinuser17 deepin
2025-08-06 11:43 deepin Wayland还是一个大饼, 不要期望太高。
Reply Like 0 View the author
Please sign in first
Widgets for Deepin 25 Popular Events
More
Debian 13 距离发布只有几天了,据开发人员称,所有已知的错误都已修复,因此它已准备好推出。到目前为止,一切顺利。但最近围绕即将发布的 Trixie 的讨论引发了一些危险信号。
事情是这样的
法国国家数字科学与技术研究所的 Vincent Lefevre 对 Debian 13 最终版本中包含的一个应用程序的潜在隐私问题表示严重担忧。哪个应用程序?StarDict。
如果你从来没有听说过它,这是完全正常的谢天谢地,这个应用程序并不是那么受欢迎。我们讨论的是一个字典查找应用程序,它允许用户使用各种字典数据库搜索单词的定义、翻译和解释。
它使用在线服务器作为后端,其基于 GTK 的 UI 将您的搜索查询发送给它们。到目前为止,这一切听起来都很正常,但事情开始变得令人担忧。
运行在 Debian 13(Trixie)上的 StarDict 应用程序。
当与某些插件一起使用时,它会自动将用户选择的文本从任何基于 X11 的应用程序通过互联网发送到远程服务器,而无需用户同意甚至警告。
虽然软件包本身被简单地描述为一个多语言字典应用程序,但它会通过 Debian 的推荐机制自动拉入一个插件软件包( stardict-plugin )。这个插件包包括基于网络的字典查找,它会在系统的 X11 选择上触发--本质上是用户高亮显示的任何文本。
一旦被触发,StarDict 会通过 HTTP 将选定的文本以明文形式发送到中国的第三方服务器,即 dict.youdao.com 和 dict.cn。更糟糕的是,这些请求是通过未加密的 HTTP 发出的,这使得任何监视网络的人都可以看到这些数据,无论是在本地 LAN 上还是通过受损的路由器。
让我用更简单的术语来分解它。假设您正在 Debian 13 上运行一个 X 会话,并且您标记了一些文本,如您的信用卡号、用户名、密码或其他,以便将其粘贴到其他地方。在这种情况下,这些信息已经悄悄地在中国的服务器上,而你甚至没有意识到这一点。
为什么?为什么?因为安装了 stardict-plugin 的 StarDict 会自动将您选择的任何文本发送到这些服务器,而且同样是通过普通的、未加密的 HTTP 进行发送。
现在,你可能认为只要你不安装那个插件,你就很安全。我有消息告诉你:它是 GTK 前端的依赖项,Debian 13 默认安装并启用😂。所以,即使你从来没有要求过它,它已经在那里,静静地做它的事情。
stardict-plugin 包作为主应用程序的强制依赖项安装。
例如,为了证实他所说的,Lefevre 展示了当他在一些应用程序中选择“relation”时, stardict 上的 strace 显示:
911565 write(16, "GET HTTP://dict.youdao.com/fsearch?q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: /\r\nHost: dict.youdao.com\r\nConnection: close\r\n\r\n", 171) = 171
911565 write(17, "GET HTTP://dict.cn/ws.php?utf8=true&q=relation HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.cn\r\nConnection: close\r\n\r\n", 164) = 164
Code language**)
在给 Debian 邮件列表的一封邮件中,Lefevre 分享了他的担忧:
小心 StarDict!默认情况下,当应用程序运行时,它会将用户(从其他应用程序)选择的任何内容发送到中国服务器!
一位 Debian 开发人员的评论紧随其后-我让你来判断。
是的,这是一个功能:它会在本地和在线词典中查找您的选择,默认情况下它会搜索英汉词典。您可以在设置中启用“扫描选择”下的“仅在按下修改键时扫描”,或者禁用网络词典插件(dict.cn 和 youdao.com)。
如果你使用 Wayland,应用程序默认情况下将被沙箱化,所以它将无法从其他应用程序中获取选择。
勒费弗尔的预期反应是非常合理的:
默认情况下,此类功能不应启用。
功能特性?真的吗?我很乐意见到安装了 StarDict 并立即前往设置关闭这个所谓的“功能”的用户-或者完全禁用插件的网络访问。
我不知道怎么说得更明白了:这是绝对不能接受的。当我们谈论 Debian 时--一个以致力于开源、可靠性和用户隐私而闻名的项目--说实话,你很难想象这样的事情是如何实现的。
当你意识到就在几年前,这个确切的问题被报告为 Debian 中的 CVE 漏洞(CVE-2009-2260)时,事情变得更加混乱。但现在,在特里克西,它被视为一个功能。老实说,我甚至不知道该说什么--这整件事根本说不通。
最后,总结一下,值得指出的是,这种 StarDict 行为只能发生在 X 会话中。如果您使用 Wayland 运行 Debian 13,那么您是安全的,这要归功于协议的沙箱设计。在这一点上,我想那些认为 Wayland 是某种没有充分理由强加给用户的大科技阴谋的人可能会重新考虑这种立场。
随着 Debian 13 即将到来,我的建议很简单:避开 StarDict。是的,现在是 2025 年,使用这样一个老式的桌面应用程序是很不寻常的,但仍然,你永远不知道。如果你关心你的隐私,最好完全避免它。
StarDict Plugins in Debian 13 Raise Privacy Concerns