โปรแกรมอื่นบน X เก็บรหัสผ่านรูตของฉันในขณะที่ฉันพิมพ์ในเทอร์มินัลเสมือนจริงได้หรือไม่?

ฉันมักจะติดตั้งโปรแกรมโอเพนซอร์สในกล่อง linux ของฉันเพราะฉันไม่เชื่อถือแอปพลิเคชันที่ปิดแหล่งที่มา เมื่อเร็ว ๆ นี้ฉันต้องใช้ Dropbox สำหรับโครงการมหาวิทยาลัย ฉันสร้างบัญชี linux แยกต่างหากชื่อwork and run (as work ) dropbox โดยไม่ต้องติดตั้งผ่านสคริปต์ไพ ธ อน สคริปต์ยังสร้างสัญลักษณ์ในซิสเต็มเทรย์ที่ให้ GUI สำหรับฟังก์ชั่นของ Dropbox

วันอื่น ๆ ที่ผมต้องทำการบำรุงรักษาบางอย่างเพื่อให้ผมเปิดสถานีเสมือน (konsole บน KDE) และป้อนรหัสผ่านรากของฉันสำหรับsu

มีโอกาสที่แอปพลิเคชั่น Dropbox อาจบันทึกรหัสผ่านรูทของฉันหรือไม่

ฉันใช้ Fedora 20 กับ KDE 4.14.3

คำตอบสั้น ๆ : ใช่

ใน "สมัยก่อน" เป็นไปได้ที่จะป้องกันแอปพลิเคชั่น X อื่น ๆ อย่างมีประสิทธิภาพจากการอ่านอินพุตเฉพาะโดยการคว้ามัน แม้ว่าจะสามารถทำได้จนถึงทุกวันนี้ แต่ข้อกำหนดคุณสมบัติของXI2ดูเหมือนว่าจะไม่สามารถทำได้อีกต่อไป (ดูคำอธิบายของเหตุการณ์ดิบรอบ ๆ บรรทัดที่ 2220) ดังนั้นภายใต้ X เพียงอย่างเดียวคุณจะไม่ปลอดภัยอีกต่อไป - อย่างน้อยก็ไม่ได้อยู่ในการตั้งค่าแบบธรรมดาทั่วไป ดูการสนทนาภายใต้คำตอบของฉันเกี่ยวกับวิธีการให้พรอมต์ขอรหัสผ่าน (ใน Xsession, keyloggersafe) และAskUbuntu Q&A อ้างอิงที่นั่น. จำเป็นต้องพูดไม่มีเทอร์มินัลกำลังทำสิ่งนั้น - ซึ่งเป็นเหตุผลว่าทำไมแอปพลิเคชันเช่น OpenSSH หรือ GnuPG มาพร้อมกับผู้ช่วย UI ของพวกเขาเองที่คว้าแป้นพิมพ์ (แม้ว่าดังที่ได้กล่าวไว้ข้างต้น

สิ่งที่คุณสามารถทำได้แม้ว่าจะได้รับการเรียกใช้โปรแกรมประยุกต์ภายใต้เซิร์ฟเวอร์เอ็กซ์ที่แตกต่างกันเช่นเซิร์ฟเวอร์ X ซ้อนกันเหมือนXephyrหรือXnestหรือหนึ่ง VNC Xvncตามชอบ โปรโตคอล Wayland ควรให้การป้องกันการดักฟัง

นอกเหนือจากที่กล่าวมาข้างต้นแอปพลิเคชันอาจพยายามใช้ช่องโหว่ด้านความปลอดภัยที่ไม่มีใครเทียบในระบบของคุณและได้รับสิทธิ์ในระดับสูง หรือทำสิ่งที่ง่ายกว่าเช่นใส่ a suและsudoใส่เข้าไปในเส้นทางของคุณต่อหน้าระบบและดักรหัสผ่าน (ขอบคุณ @Joshua สำหรับความคิดเห็น)