Hace una semana se realizó un commit al repositorio de código de GNOME, alojado en GitLab, para implementar una restricción en Nautilus que impediría la ejecución de programas y binarios directamente desde la interfaz del mencionado explorador de ficheros.
La modificación ha terminado por generar agrias discusiones y críticas a lo largo y ancho de Internet, con acusaciones de que esto podría dificultar la utilización de GNOME. Según cuentan en OMG Ubuntu, lo afectado podría ser lo siguiente:
- Ficheros binarios .bin y .run.
- AppImages.
- Atajos de las aplicaciones, como por ejemplo los ficheros .desktop.
- Scripts de shell.
En la actualidad no es frecuente ejecutar programas y aplicaciones desde el explorador de archivos, sin embargo, hay importantes aplicaciones que todavía funcionan de esa manera, como la versión oficial de Telegram Desktop, Tor Browser, el IDE Eclipse si se obtiene del sitio web oficial y el tarball oficial de Firefox. Dichas aplicaciones tendrían que cambiar el formato en el que distribuyen si quieren funcionar sin obstáculos en futuras versiones de GNOME, teniendo que recurrir a paquetes Flatpak y/o Snap.
Los desarrolladores de GNOME esgrimen motivos de seguridad para implementar esta restricción. Por otro lado, fomentar el uso de Flatpak y Snap permitirá obtener beneficios adicionales a nivel de aislamiento y seguridad. Aquí es importante tener en cuenta que se habla de la ejecución directa desde Nautilus, por lo que la opción de «Abrir con otra aplicación» seguirá disponible y como alternativa se puede recurrir a la consola.
El autor del commit de Git, Carlos Soriano, explica que «por entonces no teníamos una aplicación de software donde uno espera instalar aplicaciones. Era común que las aplicaciones se entregaran en un tarball, y hoy en día eso está fuera de toda duda. Tampoco podemos estar lo suficientemente seguro como para manejar esto, así como en el pasado permitimos el lanzamiento de binarios no confiables, y por lo tanto tenemos un CVE (CVE-2017-14604) para Nautilus. No estamos siendo auditados y no estamos en una posición en la que podamos dejar pasar este problema.»
Cuando se mezclan GNOME 3 y restricciones el debate está servido, sin embargo, los desarrolladores del entorno tienen razón al recordar los formatos modernos de paquetes, algo a lo cual se suman Deb, RPM y otros formatos de paquetes que se suelen apoyar en dependencias. En otras palabras, a día de hoy usar una aplicación descomprimida de un fichero Tar o Zip es algo que no es de recibo, aunque sea el método utilizado por algunas aplicaciones relevantes.
Al contrario de lo que pasa en Windows, en GNU/Linux no se suele usar un usuario con privilegios de administración por defecto. Sin embargo, un binario malicioso ejecutado desde el espacio del usuario sí puede llevarse por delante los datos personales, dejando la puerta abierta a ataques con ramsomware, por poner un ejemplo.
