Una vez ignorado el estulto de header200, procedo a responder:
¿Otra vez con la cuñadez de los bichito en Linux? Chrome tiene más CVE's que Firefox, ¿significa que Firefox es mucho más seguro? NO, especialmente la versión de Linux, que no es tan segura como la versión de Windows. Simplemente es porque es mucho menos usado que el de Google.
¿Quién quiere bichito en Linux, que por supuesto los hay, cuando puedes
explotar vulnerabilidades remotamente?
Eso lo dijo porque Debian Stable sólo recibe actualizaciones de seguridad... ¿Y cómo saben los de Debian que esas vulnerabilidades existen y han sido parcheadas? ¿De dónde las sacan? Pues de los CVE's. El problema es que gran parte de las vulnerabilidades no reciben ese informe por varios motivos y Debian se las pierde. Con el kernel sucede exactamente lo mismo, no todas las actualizaciones de seguridad son llevadas a las ramas LTS porque hay un descontrol tremendo, que entre otras cosas permitió que
esto se colase en un kernel LTS y luego terminase en Debian Stable. Los kernels LTS en realidad, son todo lo contrario a lo que la gente piensa, ni son más estables ni más fiables ni na. Ahora mismo creo que hay 6 o 7 pero los van a recortar a sólo 2 en los próximos años y espero que esto sirva para aumentar su "calidad".
En realidad las RR son más seguras ya que no se pierden ninguna actualización de seguridad, aunque hay quien piensa que las estables al llevar software más antiguo, con menos caracteristicas y hablo del kernel principalmente, son menos fáciles de atacar.
Correcto.
Al contrario, lo de los permisos en Android es lo mejor que ha ocurrido en mucho tiempo. Todos esos permisos que una app de Android te pide, en Linux no te los pide, primero porque no existe un sistema para ello -flatpaks y sucedáneos aparte- y segundo porque ya se los has concedido todos al ejecutarla.
¿Estás en Linux ahora? Pues pon esto en la barra de tu navegador y dale al enter: / y verás que puedes navegar por tu disco duro como si el navegador fuese un explorador de archivos. Esto quiere decir que tu navegador tiene permisos para acceder a todos los archivos de tu PC, al menos en modo lectura, lo que significa que si alguien te hackea a través del navegador o con alguna extensión maligna, podría robarte cualquier archivo de tu PC. Cualquier cosa que ejecutas en Linux en modo usuario normal, tiene permiso para hacer de todo y no sólo para lo que fue diseñada. Tu calculadora puede ver tu carpeta del prono, tu cliente BitTorrent puede ver la carpeta de tu perfil del navegador y tu programa para ver fotos tiene acceso a tu micrófono. Si encuentran una vulnerabilidad en tu cliente BitTorrent, explotada por tener permiso (el cliente) para extralimitarse en sus funciones y que ésta permita una escalada de privilegios, ya estás vendido.
¿Usas sudo? Entonces tu contraseña de root servirá de poco, porque una vez han comprometido tu cuenta de usuario normal, el que lo haya hecho, no le costará mucho tener permisos de root a través de sudo.
Windows 11 es mucho más seguro que Linux en ese aspecto, ya que es imposible instalar drivers no autorizados por Microsoft. Además las apps de su tienda no son como las .exe de toda la vida, y sí como las de Android que tienen acceso restringido al sistema.
Claro, porque tú usas Devuan con OpenRC que es un unit minimalista y él SystemD que es un monstruo que va creciendo con el paso de los años, con mil y una funciones además de aquellas para las que fue diseñado y eso por eso que es tan denostado por puristas y expertos en seguridad. Por cierto, el creador de SystemD ahora trabaja en Microsoft, para mayor resquemor de sus detractores.
Hombre, es cierto que cuanto más minimalista sea la instalación mejor, pero no creo que haya que enfocarlo en KDE o Gnome y sí más bien en cosas más críticas como el init, el servidor gráfico o el kernel. OpenRC + Wayland + Compilar tu propio kernel con sólo lo necesario para tu PC, es un buen comienzo para mejorar algo la seguridad.
Mmmmm, hay lana que cortar.
A día de hoy no le veo ninguna ventaja a Wayland, más allá de evitar las vulnerabilidades de Xorg (Las cuales han sido bastante parcheadas de por si, a ver si lo dejan morir de una vez y se centran en Wayland). Más consumo, menos opciones y sobre todo, un uso casi obligatorio de xwayland. Lo probé una temporada, y pese a que Sway no está mal, llevo demasiado tiempo en Dwm como para estar del todo cómodo. Y bueno, ventajas, al final, no le vi ninguna.
OpenRC, honestamente, aún no lo he probado. Así como Runit sí me gustó, al final me decanté por lo clásico y me quedé en SysVinit. El cual, no lo pongo en duda, tiene fallos por la antigüedad, pero me parece más minimalista (Más centrado, quizá sea la palabra) que otros inits.
Tengo en la lista de tareas probar sinit a ver, pero me huelo que va a ser un horror de configurar.
Las RR no se pierden las actualizaciones, correcto. Salvo que lo dejes un tiempo sin actualizar (Motivo que sea) y metas luego todo el mogollón. Hasta no hace mucho, ahora lo ignoro, en Arch te podía mandar a paseo todo el sistema sin demasiados problemas. O te puedes encontrar con un kernel que directamente no te deja arrancar (Me pasó en Void) por un tema de controladores. Di que bueno, eso fue fácil de solucionar bloqueando la actualización y pasando al kernel anterior. En líneas generales, no me gustan, y he probado tanto Manjaro como Void al respecto.
Más que por sudo, por lo que tengo entendido (Aquí entro en terreno resbaladizo, aviso), la escalada de privilegios se mete a través de las crontab. Pero para la escalada de privilegios primero necesitas un exploit. En ese aspecto, salvo ataques directos a los repositorios, un sistema normal que no use PPA's o paquetería en plan Snap/Flatpak/AppImage es muy seguro. Con cortafuegos/iptables y AppArmor (Los cuales vienen por norma activados en la mayoría de distros) no debería haber brechas de seguridad.
En el caso de Debian, recordemos que es de las antiguas, y es un ecosistema propio del cual forman parte tanto Canonical como Mint (Como Devuan). Explica un poco eso de los "varios motivos" de las CVE, me ha parecido interesante y sorprendente, dado el tamaño del conglomerado y que se comparten información y parches de forma constante.
No te voy a entrar en Android, pero ya he visto ejemplos como el de la calculadora, pidiendo permiso para acceder a archivos. Tú dices que es seguro, yo no lo tengo tan claro ni por asomo.
Sí, un paquete puede acceder a medio sistema... Pero no sin la contraseña de root (Aunque hay cosas como Steam que permite apagar el sistema, es uno de los motivos por los que no lo uso). En líneas generales, sólo lo he visto en Steam, que accediese a funciones de su desde una ejecución de usuario.
En Android cualquier paquete puede ser configurado para que pida esos permisos, y se mete a la tienda sin más. Todo el paso previo de comprobaciones de un repositorio se queda en el camino.
Con respecto al navegador, con :/ en qutebrowser me abre la lista de comandos del propio navegador. Lo cual es lo normal en este navegador, por otro lado. Muy recomendable, por cierto, el uso del ratón se minimiza al extremo. De paso, lleva integrado el propio adblock.
Siempre he dicho que hay muchas opciones a los navegadores más conocidos, y éste es de los mejores que he visto hasta la fecha.
Y ya para finalizar: No conozco Windows 11. Llevo 20 años a día de hoy usando GNU/Linux, así que hay temas donde hablo de oídas, o de haberle metido a mi mujer el Windows en su propio ordenador. Lo último que se es que requería un hardware específico, aunque luego podías bajarte "de algún lado" una versión que no lo hacía, y podías bajarte "de otros sitios" algún programa para quitarle bloatware... Todo me sonaba muy seguro, sin duda. Más o menos como las versiones empaquetadas de Android con 20.000 cosas de las cuales algunas podías quitar, y otras no sin meterle root al teléfono.
Del hecho de que un teléfono tenga actualizaciones hasta X versión y luego fin, no hablemos. Poca brecha de seguridad hay más subida de peso que esa, que no puedas actualizar porque tu sistema ya no recibe ninguna más.
Mañana seguimos hablando si eso, me toca ir a dormir para coger fuerte el remo mañana.
Un saludo.