KDE está buscando a una persona candidata para contratarla como ingeniero de software para mejorar su entorno de escritorio Plasma

¿Quieres trabajar en un gran proyecto de software libre como KDE y que te paguen por ello? Ahora tienes la oportunidad, ya que KDE ha creado una oferta de trabajo para una persona que trabaje como ingeniera de software. ¿Te animas?

Te paso el anuncio traducido que ha ofertado KDE.

KDE E.V., la organización sin fines de lucro que apoya a la comunidad KDE, está buscando una persona a la que contratar para mejorar el entorno de escritorio Plasma de KDE de manera que admite la adquisición de usuarios a través del crecimiento en nuevos mercados de hardware y software. El ingeniero de software de Plasma abordará defectos y características faltantes que son barreras para estos objetivos. Consulte la lista completa de trabajo para obtener más detalles sobre esta oportunidad. Esperamos su aplicación.

Tareas que se desarrollarán en el puesto

• Generalmente desarrollar y mantener el plasma con el objetivo de la reducción de los bloqueadores para la adopción entre los posibles socios de hardware y software
• Las áreas adicionales de enfoque pueden incluir la instalación inicial del sistema, la configuración de dispositivos UX, entrada y salida de primera carrera, administración de configuración, administración de energía, redes, impresiones e integración de portal de escritorio y escritorio para aplicaciones empaquetadas en forma contenedor (por ejemplo, utilizando FlatPak y Snap)

Experiencia

• Experiencia en desarrollo del software orientado al usuario en C y QML con las tecnologías de desarrollo de KDE (por ejemplo, KDE Frameworks, Plasma)
• Fluidez en inglés escrito y hablado, con excelentes habilidades de comunicación verbal escrita y verbal
• Experiencia trabajando de forma remota, proactiva, asíncrona, con voluntarios, en una comunidad abierta

Se ofrece un contrato de 20 horas a la semana que pueden ser negociables. Se paga 32€/ en bruto y el contrato sería por 1 año con opción de poder extenderlo si se llega a un acuerdo por ambas partes.

Todos los detalles de primera mano y cómo enviar tu solicitud lo encontrarás en este enlace:

• https://ev.kde.org/2025/02/24/2025-02-24-kde-kde-job-plasma-software-engineer/

¿Se puede o se debe disociar estos dos términos? ¿Son antagónicos o están más cerca de lo que se cree?

En una asociación de software libre de la que soy miembro recientemente se abrió un debate con diferentes opiniones en relación a que dicha asociación dejaría de utilizar la red social XTwitter para compartir noticias, etc. No se borraría la cuenta para impedir suplantaciones, pero sí se dejaría de usar ese medio como difusión de su contenido.

La noticia fue recibida de dos manera a favor y en contra. En mi caso suscribí la decisión tomada, y otras personas opinaban en contra aportando sus argumentos. En uno de esos mensajes de ida y vuelta, un compañero después de exponer sus razones sobre porqué se debería seguir en XTwitter, terminó su argumentación con un:

«No me interesa la política. Estoy aquí por el software libre.»

Ese colofón a su mensaje, me dejó pensativo y estuve pensando sobre qué había detrás de esa afirmación del compañero. Pensando sobre ella, me trajo más preguntas: ¿se debe/puede separar el software libre y la política? ¿se puede apoyar el software libre de una manera apolítica? ¿tiene alguna ideología política el software libre?

Vale, sé que muchas personas podrán opinar que la política se ha convertido en un pozo pestilente lleno de mentiras, personas que buscan su propio interés y el enriquecimiento. Creo que esa es una reacción lógica viendo cómo se ha prostituido el término, si es que alguna vez tuvo un lustre digno.

Vayamos a la definición que del término ha realizado la RAE, de entre todas sus acepciones veo estas:

• f. Arte, doctrina u opinión referente al gobierno de los Estados.
• f. Actividad de quienes rigen o aspiran a regir los asuntos públicos.
• f. Actividad del ciudadano cuando interviene en los asuntos públicos con su opinión, con su voto, o de cualquier otro modo.

Parece ser que el término relaciona a las personas con los estados en los que vivimos y los asuntos públicos que estos estados gestionan y que tienen un impacto directo con las personas que viven en ese estado.

Decía el filósofo griego Aristóteles, que «el hombre es un animal político». Las personas nos organizamos en comunidades, desde las más cercanas como nuestra familia, hasta más extensas y casi ajenas a nosotros mismos como Europa, o Latinoamérica. Unas y otras deben servir para obtener objetivos comunes. Protección, alimento, servicios sociales, etc que recibimos a cambio de nuestro aporte (impuestos) o de manera desinteresada (una madre criando a su recién nacido).

Es difícil gestionar los intereses de estas comunidades, siempre habrá roces y choque de intereses, pero el bien común es el que debería prevalecer, si viviéramos en el país de la golosina en el mundo del algodón de azúcar, y eso no es así. Y en todo esto todavía no he planteado si software libre y política es algo distinto e islas separadas tal como afirmaba en el correo el compañero.

El software libre son simplemente bits 1 y 0 que organizados de una manera coherente nos ofrecen las 4 libertades del software libre. La asociación en la que se produjo el debate y cualquier otra asociación que defienda el software libre es una asociación de personas que procuran un bien común, no solo a dicha asociación, si no difundiendo lo bueno que puede aportar ese software libre defendido a otra asociaciones de otro tipo.

Por ejemplo la asociación de LibreOffice (por poner un ejemplo al azar), tratará de convencer que el software libre que desarrollan es ofrece más ventajas al común de las personas que las opciones privativas. Esas mejoras pueden ser monetarias (costes de licencias) o pueden ser éticas (libertad inherente en el software libre para utilizarlo como quiera, quien quiera).

Vale, un desarrollador que colabore en software libre con LibreOffice, puede pensar eso de «No me interesa la política. Estoy aquí por el software libre.» y es legítimo. El corregirá errores, mejorará el software, colaborará con otras personas para añadir funcionalidades, etc. Él no está haciendo política. Pero está dentro de una asociación, que tendrá que relacionarse con otras, o con un Estado o gobierno, ahí ya sí es política.

Si LibreOffice en virtud de un bien común como es el ahorro de dinero público para la compra de licencias de software privativo en la administración de ese Estado, ofrece su software como alternativa ya hay una relación del Estado y los asustos públicos con el software libre. Ese desarrollador, que no quiere inmiscuirse en política, podrá abandonar LibreOffice e ir a otra asociación o seguir apoyando de manera tácita esa relación política creada.

También creo que se podría hablar de estar posicionado por omisión. Si los lobbies de software privativo, con todo su dinero, contactos y poder tienen una gran influencia con los asuntos públicos de los Estados, atando a estos a una dependencia tecnológica unilateral por parte de las empresas de software privativo, el no hacer nada al respecto, decir y alzar la voz también es posicionarse de manera política. Se prefiere esa situación injusta en cuanto a relación de poderes que el dar visibilidad a otras opciones, entre ellas la propia.

De acuerdo, contentar a todo el mundo es imposible, pero sí debería ser algo justo, equitativo y razonal.

El software libre y la política están relacionados de una u otra forma, cuando asociaciones de software libre realizan una declaración conjunta para que el dinero público de los Estados, revierta en software libre, cuando se piden reformas para legislar que el hardware cumpla ciertas condiciones que lo hagan universal y reparable, cuando asociaciones piden reformas de leyes que atacan la libertad de los usuarios al utilizar medios tecnológicos, cuando se piden estándares abiertos auditables e independientes.

Podemos no estar interesados en la política y querer solo desarrollar software libre, pero sin duda de una u otra manera ambas están relacionadas por acción u omisión.

Dentro de esas asociaciones habrá tantas opiniones diferentes como personas las compongan, se podrán llegar a acuerdos y puntos coincidentes, obviando o dejando de lado otros. No creo que el software libre tenga ideología, porque habrá diferentes opiniones. Pero sí que habrá unos mínimos de libertad del usuario, colaboración y ayuda a quienes no pueden obtener su libertad de software por sí mismos.

¿Estaremos haciendo política de alguna manera? Yo creo que sí y ejemplos hay muchos. ¿Tú qué opinas? Utilizando argumentos y respetando las personas me gustará saberlo en comentarios.

Ha pasado más de una semana desde el lanzamiento de Plasma 6.3 y ya estoy mostrando lo que ofrece para seguir siendo considerado el escritorio más vanguardista. En esta ocasión sigo la serie con las novedades de las herramientas de Plasma 6.3, esas pequeñas aplicaciones que nos hacen la vida más sencilla con nuestro entorno de trabajo.

Novedades de hardware de Plasma 6.3

El pasado 4 de febrero fue lanzado Plasma 6.3, una actualización mayor del entorno de trabajo más moderno, funcional y llenos de posibilidades que te puedes instalar en tu PC, y a un precio ridículo: 0 €. Solo requiere que inviertas tiempo para aprender a hacerlo.

Esta versión consolida su gran paso de tecnologías QT5/KF5 a QT6/KF6 en tiempo récord, abriendo un abanico de posibilidades nunca antes vistas, como se puede ver en las novedades de las herramientas de Plasma 6.3, esas pequeñas aplicaciones que nos hacen la vida más sencilla con nuestro entorno de trabajo..

En palabras de sus desarrolladores:

Pasando a las herramientas específicas, KRunner de Plasma 6.3 (la herramienta de búsqueda integrada que también realiza conversiones, cálculos, definiciones, gráficos y mucho más), Discover (la aplicación de gestión de software o tienda de aplicaciones de Plasma) y el widget de Informe meteorológico llegan con nuevas funciones y mejoras:

KRunner

KRunner y las búsquedas que usan KRunner permiten ahora saltar entre categorías usando las teclas RePág/AvPág y las combinaciones Ctrl+Arriba/Ctrl+Abajo.

Discover

Una mejora de seguridad que llega a Discover destaca las aplicaciones en entornos aislados cuyos permisos cambiarán tras ser actualizadas. Esto le permite comprobar dichos cambios en caso de que sospeche de algún comportamiento extraño.

De un modo similar, ahora se puede ver si las aplicaciones están empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.

Elemento gráfico meteorológico

Si es incondicional de los pronósticos proporcionados por Deutscher Wetterdienst, está de suerte: el widget meteorológico de Plasma 6.3 permite usar dicha fuente.

Más información: KDE

Las novedades generales de Plasma 6.3

Aprovecho para realizar un listado de las novedades generales de Plasma 6.3 novedades extraídas de 9to5linux.

• Posibilidad de clonar un panel.
• Posibilidad de establecer atajos de teclado para mover ventanas entre zonas de mosaicos de Custom Tiling en función de la direccionalidad.
• Soporte para recordar el escritorio virtual activo por actividad.
• Página renovada de la tableta gráfica en la configuración del sistema.
• Opción de preferir la precisión del color de la pantalla en KWin.
• Notificaciones de batería baja para auriculares inalámbricos que expongan adecuadamente la información de la batería.
• Nueva configuración el touchpad para que se desactive automáticamente al conectar un ratón.
• Mejor escalado fraccional para todos.
• Los widgets colocados en el escritorio sean ligeramente translúcidos.
• Asignación una contraseña aleatoria por defecto al punto de acceso a la red.
• Nuevo servicio para detectar y avisar a los usuarios con una notificación explicando lo que ocurre cuando el sistema se queda sin memoria y el kernel termina una aplicación.
• Plasma Discover ha sido actualizado para mostrar a los usuarios cuando las aplicaciones han sido empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.
• Mayor precisión el progreso de la instalación.

• Posibilidad de desactivar temporalmente las reglas de ventana de KWin en lugar de eliminarlas.
• Indicador de agrupación en el widget Administrador de tareas ahora sigue el color de acento actual.
• Los iconos simbólicos apropiados ahora serán sustituidos automáticamente por iconos de aplicaciones en el área de la bandeja del sistema.
• La aplicación Centro de información ahora mostrará todas tus GPUs y el recuento de ciclos de la batería de tu portátil.
• Posibilidad de intercambiar las funciones de los botones del lápiz de la tableta de dibujo.
• Se podrá mostrar la cola de impresión de cada impresora en línea y un spinner ocupado para cualquier impresora que esté imprimiendo en ese momento en el widget Impresoras.
• Se notificará a los usuarios en la pantalla de cierre de sesión cuando reinicien su sistema en el menú del gestor de arranque.
• Eliminado la categoría de menú «Configuración» del lanzador de aplicaciones Kickoff y todo su contenido se ha trasladado a la categoría «Sistema».

Más información: KDE

La entrada Novedades de las herramientas de Plasma 6.3 se publicó primero en KDE Blog.

Ha pasado una semana desde el lanzamiento de Plasma 6.3 y es hora de empezar a mostrar qué ofrece para seguir siendo considerado el escritorio más vanguardista. En esta ocasión sigo la serie con las novedades de hardware de Plasma 6.3 ya que este entorno de escritorio también se encarga de monitorizar nuestros dispositivos físicos.

Novedades de hardware de Plasma 6.3

El pasado 4 de febrero fue lanzado Plasma 6.3, una actualización mayor del entorno de trabajo más moderno, funcional y llenos de posibilidades que te puedes instalar en tu PC, y a un precio ridículo: 0 €. Solo requiere que inviertas tiempo para aprender a hacerlo.

Esta versión consolida su gran paso de tecnologías QT5/KF5 a QT6/KF6 en tiempo récord, abriendo un abanico de posibilidades nunca antes vistas, como se puede ver en las novedades de hardware de Plasma 6.3 que nos permiten tener más control de nuestro ordenador.

En palabras de sus desarrolladores:

El Monitor del sistema supervisa el uso de la CPU con más precisión y consume muchos menos recursos de CPU cuando lo hace. Si está usando Plasma 6.3 en FreeBSD, está de suerte: la aplicación del Monitor del sistema y sus widgets también pueden recopilar estadísticas de la GPU del sistema.

El Centro de información también proporciona más información, mostrando datos sobre todas las GPU instaladas y sobre el contador de ciclos de carga de las baterías.

La supervisión de las impresoras también es igual de sencilla, ya que la cola de impresión de cada impresora se muestra directamente en el widget. También se muestra un pequeño indicador giratorio en las impresoras que están imprimiendo en cada momento, por lo que se puede ver rápidamente las que están en uso.

Plasma ya incluye una gran variedad de servicios en segundo plano que le permiten saber si algo ha salido mal y lo que puede hacer al respecto. Plasma 6.3 incluye un nuevo servicio que detecta si el kernel ha terminado alguna aplicación debido al agotamiento de la memoria del sistema. Este servicio muestra una notificación que explica lo que ha ocurrido y sugiere formas de evitar dicho problema en el futuro

Un detalle menor aunque interesante es que los widgets situados en el escritorio son ligeramente traslúcidos, al igual que las ventanas emergentes de los widgets que residen en el panel:

Más información: KDE

Las novedades generales de Plasma 6.3

Aprovecho para realizar un listado de las novedades generales de Plasma 6.3 novedades extraídas de 9to5linux.

• Posibilidad de clonar un panel.
• Posibilidad de establecer atajos de teclado para mover ventanas entre zonas de mosaicos de Custom Tiling en función de la direccionalidad.
• Soporte para recordar el escritorio virtual activo por actividad.
• Página renovada de la tableta gráfica en la configuración del sistema.
• Opción de preferir la precisión del color de la pantalla en KWin.
• Notificaciones de batería baja para auriculares inalámbricos que expongan adecuadamente la información de la batería.
• Nueva configuración el touchpad para que se desactive automáticamente al conectar un ratón.
• Mejor escalado fraccional para todos.
• Los widgets colocados en el escritorio sean ligeramente translúcidos.
• Asignación una contraseña aleatoria por defecto al punto de acceso a la red.
• Nuevo servicio para detectar y avisar a los usuarios con una notificación explicando lo que ocurre cuando el sistema se queda sin memoria y el kernel termina una aplicación.
• Plasma Discover ha sido actualizado para mostrar a los usuarios cuando las aplicaciones han sido empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.
• Mayor precisión el progreso de la instalación.

• Posibilidad de desactivar temporalmente las reglas de ventana de KWin en lugar de eliminarlas.
• Indicador de agrupación en el widget Administrador de tareas ahora sigue el color de acento actual.
• Los iconos simbólicos apropiados ahora serán sustituidos automáticamente por iconos de aplicaciones en el área de la bandeja del sistema.
• La aplicación Centro de información ahora mostrará todas tus GPUs y el recuento de ciclos de la batería de tu portátil.
• Posibilidad de intercambiar las funciones de los botones del lápiz de la tableta de dibujo.
• Se podrá mostrar la cola de impresión de cada impresora en línea y un spinner ocupado para cualquier impresora que esté imprimiendo en ese momento en el widget Impresoras.
• Se notificará a los usuarios en la pantalla de cierre de sesión cuando reinicien su sistema en el menú del gestor de arranque.
• Eliminado la categoría de menú «Configuración» del lanzador de aplicaciones Kickoff y todo su contenido se ha trasladado a la categoría «Sistema».

Más información: KDE

La entrada Novedades de hardware de Plasma 6.3 se publicó primero en KDE Blog.

Tumbleweed es una distribución de GNU/Linux «Rolling Release» o de actualización contínua. Aquí puedes estar al tanto de las últimas novedades.

openSUSE Tumbleweed es la versión «rolling release» o de actualización continua de la distribución de GNU/Linux openSUSE.

Hagamos un repaso a las novedades que han llegado hasta los repositorios esta semana.

Y recuerda que puedes estar al tanto de las nuevas publicaciones de snapshots en esta web:

• https://victorhck.gitlab.io/tumbleweed_snapshots/

El anuncio original lo puedes leer en el blog de Dominique Leuenberger, publicado bajo licencia CC-by-sa, en este este enlace:

• https://dominique.leuenberger.net/blog/2025/02/tumbleweed-review-of-the-week-2025-08/

Esta semana se han publicado 4 nuevas snapshots (0216, 0217, 0218, y 0219).

Las actualizaciones más destacadas de estas semanas:

• cURL 8.12.1
• Pipewire 1.3.82
• Linux kernel 6.13.2 & 6.13.3
• KDE Frameworks 6.11.0
• SELinux 3.8
• openSSL 3.2.4
• Zypper 1.14.84: aborts dup in case of repositories not being available
• PHP 8.3.17
• PostgreSQL 17.3; PostgreSQL 12 has been removed from the repository
• Qemu 9.2.1
• Ruby 3.4.2
• systemd 257.3
• openSSH 9.9p2

Pero hay mucho más que se está preparando

• KDE Plasma 6.3.1
• MariaDB 11.7.2
• Mesa 25.0.0
• Boost 1.87
• ZStd 1.5.7
• glibc 2.41
• Python 3.13 como intérprete predeterminado

Si quieres estar a la última con software actualizado y probado utiliza openSUSE Tumbleweed la opción rolling release de la distribución de GNU/Linux openSUSE.

Mantente actualizado y ya sabes: Have a lot of fun!!

Enlaces de interés

• ¿Por qué deberías utilizar openSUSE Tumbleweed?
• zypper dup en Tumbleweed hace todo el trabajo al actualizar
• ¿Cual es el mejor comando para actualizar Tumbleweed?
• ¿Qué es el test openQA?
• http://download.opensuse.org/tumbleweed/iso/
• https://es.opensuse.org/Portal:Tumbleweed

——————————–

Dear Tumbleweed users and hackers,

This week was interesting from an engineering point of view and involved some under-the-hood work—like reworking the kernel-firmware packet into more than 30 smaller source packages. The benefit is for the users: finally, only the kernel—* package with the relevant blobs needs to be rebuilt and distributed. Before, they were all just the outcome of one large build and their build counters were in sync. So updating firmware in package A resulted in also rebuilding B – and having users update this, despite not having a single change.

As part of the 4 published snapshots (0216, 0217, 0218, and 0219) there were also some more user-visible – or admin-relevant – updates, like:

• cURL 8.12.1
• Pipewire 1.3.82
• Linux kernel 6.13.2 & 6.13.3
• KDE Frameworks 6.11.0
• SELinux 3.8
• openSSL 3.2.4
• Zypper 1.14.84: aborts dup in case of repositories not being available
• PHP 8.3.17
• PostgreSQL 17.3; PostgreSQL 12 has been removed from the repository
• Qemu 9.2.1
• Ruby 3.4.2
• systemd 257.3
• openSSH 9.9p2

The items being worked on, based on the Staging area, are:

• KDE Plasma 6.3.1
• MariaDB 11.7.2
• Mesa 25.0.0
• Boost 1.87
• ZStd 1.5.7
• move to openmpi5
• glibc 2.41: please help work out the errors in https://build.opensuse.org/project/show/openSUSE:Factory:Staging:O
• Python 3.13 as the default Python interpreter: Pending issues can be seen at https://build.opensuse.org/project/show/openSUSE:Factory:Staging:A. Just 4 more packages to go!

Mientras sigo preparando la entrada recopilatoria del 2024 reaizaso la segunda de este año de la iniciativa #viernesdeescritorio. Bienvenidos a mi escritorio Plasma de febrero 2025, realizado sobre mi portátil Slimbook Pro, con el que llegamos a las 57 entregas compartiendo «Mi escritorio» de forma mensual (¿tendré la visita mensual de mi troll?).

Mi escritorio Plasma de febrero 2025 #viernesdeescritorio

Esta va a ser la quincuagésimoséptima (57 para los que nos cuesta leer esto) vez que muestro mi escritorio Plasma 6 en público, lo cual es número nada desdeñable de entradas que sigue creciendo de forma constante.

Y en esta ocasión lo realizo de nuevo sobre mi Slimbook Pro, el cual tiene instalado un KDE Neon con Plasma 6.2.0, sobre una versión de KDE Frameworks 6.6 y una versión de Qt 6.7.2 El servidor gráfico es Wayland y el Kernel es 6.8.0-49-generic (64 bits). Este fin de semana voy a dedicar un tiempo a actualizarlo, sí o sí.

Respecto al mes pasado no he realizado muchos cambios. Sigo con el tema global básico Brisa Oscuro, los iconos Deepin2022-Dark y mantengo la barra de actividades de la derecha a la izquierda ya que es más cómodo a la hora de utilizar las barras de desplazamiento y aprovechar el ancho de la pantalla.

He cambiado el reloj-calendario Modern Clock de Prayagjain bastante modificado que le queda de fábula sobre un fondo muy colorido ya que este último mes necesitaba contraste para seguir con mi gris y ajetreada vida.

El resultado de mi escritorio Plasma de febrero de 2025 es un entorno de trabajo oscuro y, como siempre, funcional que podéis ver en la imagen inferior (pinchad sobre ella para verlo un poco más grande).

La entrada Mi escritorio Plasma de febrero 2025 #viernesdeescritorio se publicó primero en KDE Blog.

Table of Contents

• 1) Introduction
• 2) History of Privileged File Operations in KDE
  • KTextEditor File Saving Operation
  • KIO Framework for Privileged File System Operations
  • The kio-admin Back End
  • Integration of kio-admin into the Dolphin File Manager
• 3) Assessment of Security Concerns
• 4) Rationale for Accepting kio-admin into openSUSE
• 5) Recommendations for Users of kio-admin or gvfs
• 6) Next Steps for Inclusion of kio-admin
• 7) References

1) Introduction

kio-admin is a KDE component which allows to perform privileged file operations in GUI applications. It implements a D-Bus service running as root and uses Polkit for authentication. A typical use case of kio-admin is found in KDE’s Dolphin file manager, which allows to enter an admin mode, in which file manager operations are carried out as root instead of as the unprivileged user.

The initial 2022 request to add kio-admin to openSUSE was rejected by us due to security concerns. Some time ago we have been asked to revisit this package to see if it could be added now. The security assessment of kio-admin is a difficult one, nonetheless we decided to accept it into openSUSE this time since the probability of actual exploits is low. The following sections explore the history of privileged file operations in KDE up to kio-admin, the rationale for accepting it into openSUSE at this point and recommendations for safely performing privileged file operations in complex scenarios.

2) History of Privileged File Operations in KDE

KTextEditor File Saving Operation

Historically, for performing privileged operations in GUI applications, the complete application had to be executed as root. Doing so is generally discouraged, since GUI programs are complex and not always written with potential security issues in mind. Also the inner workings of the X11 protocol and X server implementations have been a reason for security woes when running graphical applications with raised privileges.

One way out of this “all or nothing” approach was the introduction of Polkit, which allows to define individual actions for privileged operations. These actions are authenticated by the polkitd daemon. Applications are then typically separated in two parts. An unprivileged graphical application which contains the majority of the code communicates with a back end to execute the privileged operations. The back end is much smaller in size and runs as root.

This approach works well when the nature of the privileged operation has a clearly defined scope like “enable a VPN connection” or “connect to a Bluetooth device”. Problems arise, though, when this is not the case. This happened in KDE in 2017, when a D-Bus service with Polkit authentication was added to KTextEditor. This service is part of a feature which allows an unprivileged user to save a file to a privileged file system location after entering the root password. From the end user’s point of view this makes perfect sense: why shouldn’t the user of a typical single-user desktop system be allowed to change configuration files this way?

Former security team member Sebastian Krahmer was kind of outraged by this idea, though, because the Polkit action lacked a well-defined scope. Writing arbitrary data to arbitrary files on disk can lead to all kinds of problematic situations. Let’s consider a few scenarios:

• a file is saved in a system configuration directory owned by root, like /etc/fstab. This is likely the typical use case considered by the upstream developers.
• a file is (accidentally) saved to an unprivileged location the user controls anyway like /home/$USERNAME/some_file. The privilege escalation would not even be necessary in this case, but acting with root privileges in this location is dangerous.
• a file is saved to a configuration or state directory owned by an unprivileged service user like /var/lib/chrony. Now three different user accounts are involved: the unprivileged user providing the file content and asking for the operation, the root user performing the privileged operation and the service user chrony which actually controls the file system location where the write is about to happen.
• a file on a pseudo file system like /proc or /sys could be changed this way. Pseudo files often have special semantics with regards to the way data is written to them. Without being aware of this, the privileged KTextEditor helper component could cause side effects or simply not fulfill correctly what the user had in mind.
• a target path might not yet exist. Should it be newly created? What ownership and mode should be applied to such a newly created file?
• a target path might exist, but have a special file type. By naively accessing such files, the write could be redirected to unintended locations (by following symbolic links) or denial-of-service could occur (by blocking on a FIFO pipe). What should be done in this case: should the write operation fail, should the special file be silently replaced or should the user be asked interactively what to do?

We can see from this list that many different situations can result from what looked like just a simple “file save” operation in the beginning. We reviewed the code for this KTextEditor feature more closely and discovered CVE-2018-10361, a local root exploit when the privileged back end attempts to save a file in a directory owned by another unprivileged user.

After the finding was fixed by upstream we asked for a number of improvements before we would accept this D-Bus service into openSUSE:

• the destination path should be added to the Polkit authentication message (bsc#1147035). Currently it would only show a generic message about manipulating a privileged file. To prevent potential accidents or even spoofing, the message should clearly state what is being authenticated.
• the target file ownership and mode should be completely defined either by the back end, or by the front end (bsc#1147038). Currently the front end could optionally pass the file owner and group, but not the mode. For creating new files, the GUI part should ideally actively ask the user for the desired file properties. This is because neither the back end nor the front end can reliably guess the mode for new files. Should it be world readable or not? Should it be controlled by root, or by a service account or even another interactive user? This is something that can only be answered by the user asking for the operation to be performed.
• the back end should not replace anything except regular files. Symlinks should not be followed, any other special files should not be accessed or replaced (bsc#1147041).
• when writing to a directory not owned by root, then the back end component should drop privileges to the owner of the directory before performing file operations within it (bsc#1147043).
• a restriction on destination file systems should be implemented, e.g. to prevent the operation on pseudo file systems (bsc#1147045).

We never heard back from upstream or our KDE maintainers on any of these points, therefore this part of KTextEditor is still not enabled on openSUSE. Implementing most of the changes we requested would have been well within reach; only the dynamic authentication message involved some obstacles, because the Qt and KDE framework libraries for Polkit did not fully support this at the time.

KIO Framework for Privileged File System Operations

While there was no progress with the requested improvements of the “save file to an arbitrary location” feature in KTextEditor, developers of the KIO framework around the same time attempted to extend the concept of privileged file operations via D-Bus and Polkit even further. There was an effort to make a full range of privileged file operations available to GUI applications: chmod(), chown(), unlink(), mkdir(), rmdir(), open(), opendir(), rename(), symlink() and utime(). We were asked to participate in design discussions about this feature.

The resulting D-Bus service ended up being something like a mini kernel in user space, offering all kinds of file system APIs. Some of the problems observed in KTextEditor became even worse in this approach. While in KTextEditor it is at least clear that only regular files are supposed to be accessed, nothing is known about the context of the file operations in KIO. All the individual operations are detached from each other. Applications typically need to perform a specific task covering a certain range of file operations that are logically related. One such task might be to atomically replace a file in a privileged location by a new version of the file. This would require a sequence of calls like open() for the new file to be created, a chown() to assign the desired ownership to it and finally a rename() to replace the old file by the new file. The KIO D-Bus service did not have this additional context information and thus could not clearly inform the user about what is going to happen.

Only a single Polkit action “org.kde.kio.file.exec” was used to authenticate any of these privileged file system operations. The authentication message displayed to users is, like in KTextEditor, a generic one. Users won’t be able to determine exactly what kind of file operation they are authenticating. The user will either be presented with multiple authentication requests for a single task (auth_admin Polkit setting) or the D-Bus service will cache authentication for some time (auth_admin_keep Polkit setting) thereby allowing an unknown amount and range of file operations to be performed for an indefinite time span. In both cases the scope of what is authenticated is unclear to an average end user.

Since a generic D-Bus service that offers file operations cannot know what the logical goal of a client application is, the service basically needs to expose all variants of file system operations and the flags influencing them to applications. Modelling this on D-Bus correctly and completely is a difficult task. Such an approach also puts a burden on the applications that now need to implement complex sequences of system calls indirectly via an asynchronous D-Bus IPC interface.

Another approach to make an interface like this work in a robust and safe way could be to implement some form of transaction handling. The application would request a task like “replace /etc/fstab” and register a sequence of calls that are logically related for this task like: open /etc/fstab.new, chmod /etc/fstab.new, rename /etc/fstab.new to /etc/fstab. The back end would then only authenticate and allow these file operations on the requested paths. This again would lead to a highly complex interface, however.

Securely operating in arbitrary file system locations with raised privileges is already a highly difficult task when doing so using plain system calls. The program has to take into account the necessity to perform a privilege drop to the owner of a directory, it needs to avoid following symbolic links in many situations, it might need to open files using the O_PATH flag to avoid accessing dangerous special files unwittingly. The task just seems too complex to cover it generically using an abstract IPC interface. Polkit as an authentication mechanism is also not suited well for such a kind of generic API.

As a consequence of the involved complexities, after long discussions, upstream abandoned this feature. The code is still present in the KIO repository, but the privileged file_helper is not installed.

The kio-admin Back End

With this we arrive at kio-admin. We were asked for inclusion of this D-Bus service in 2022. It is another variation on the “privileged file operation” theme. Only this time it is not an integral feature of the KIO framework, but a separate component running as root that acts as a regular client towards KIO.

We decided not to accept kio-admin for mostly the same reasons as we have stated previously regarding KTextEditor and the KIO framework feature above. In 2024 we have been asked to revisit kio-admin, to check if it improved in the meantime.

Sadly the situation did not change much. The range of file operations offered is very similar to what was proposed for KIO: chown(), chmod(), mkdir(), listing directory contents and so on. In some respects the API is even worse than what was proposed for KIO earlier, because all operations are performed on paths, not on file descriptors. There is less control over individual operations with regards to following symbolic links and other behaviour of system calls. The implementation of the D-Bus service is more complex, requests are asynchronously forwarded by kio-admin to KIO. The kio-admin D-Bus API also uses URIs like “file:///etc/fstab” instead of plain paths.

Again there exists only a single Polkit action “org.kde.kio.admin.commands” which uses a generic authentication message for authorization of any of the offered operations. The scope of the request that gets authenticated remains again unclear to users.

The actual implementation of the file operations found in the KIO framework is often naive with respect to occurrence of symbolic links and also subject to race conditions, should a third user account in the system have control over the directory in which the operations take place.

Integration of kio-admin into the Dolphin File Manager

One of the main use cases of the kio-admin component is found in the Dolphin file manager “admin mode” feature. This is a mode in which all file operations are forwarded to the kio-admin back end, to perform them with raised privileges.

The way this feature is implemented in Dolphin is actually well thought out. There are clear warnings and a visible red bar at the top as long as the “acting as admin” mode is active. Also Dolphin rejects changing symbolic link targets and correctly displays that link permissions cannot be changed.

This cannot completely fix things like race conditions on part of the kio-admin back end, however. When Dolphin sees a regular file for example, and triggers a request at kio-admin to operate on it, the path could be replaced by some other file type by the time the KIO framework starts operating on it.

3) Assessment of Security Concerns

The concerns we have about privileged file operations exposed via D-Bus APIs affect local system security. These days it is often argued that nearly all Linux desktop systems are single-user desktops and thus local system security is not important. The attack surface found in kio-admin can still affect defense-in-depth, though. Consider file operations taking place in directories owned by unprivileged service users or by nobody. If such an account is compromised, then attack vectors like symlink attacks can lead to full privilege escalation. In this sense, every Linux system could be considered a multi-user system, even if no other human interactive users are present.

The general purpose nature of such APIs makes it hard to judge what future uses might look like. Once such an API is accepted into the distribution, it is difficult to keep track of additional consumers of the API. The proliferation of its use, maybe also in the area of non-interactive background tasks, could increase the dangers we already identified.

For these reasons we rejected the inclusion of the kio-admin API into openSUSE up until now.

4) Rationale for Accepting kio-admin into openSUSE

We have dealt with these types of APIs in KDE since 2017 without achieving any notable improvements. As we are responsible for product security we tried to protect our users from potentially harmful components. At this point, though, we don’t believe that this situation will change anytime soon. Meanwhile users still want to use features like the one found in Dolphin, and don’t understand why openSUSE does not include them.

We realize that using non-robust APIs is still an improvement over running graphical applications completely as root. Also in its current form, the likelihood that an operation interactively performed via kio-admin is actually exploited, is low.

There also exists a GNOME desktop component called gvfs which is very similar to kio-admin. It was accepted into openSUSE in 2017 without looking in detail at its purpose and API design. In the context of the discussions about KTextEditor we performed a second more in-depth review, during which we found problems closely resembling the concerns about kio-admin discussed in this article. Still, we decided to keep it in openSUSE, due to historical reasons.

Thus, on the grounds of equal treatment and to allow for a good user experience on openSUSE, we have now decided to set aside our concerns about kio-admin and admit it into openSUSE. This feels like the pragmatic choice to us given the circumstances. We would have liked to see a more robust and transparent API design, however. We hope that upstream developers find ways to better address our concerns in the future, meanwhile we still recommend end users to be careful when using these features and take heed of the recommendations we give in the next section.

5) Recommendations for Users of kio-admin or gvfs

Unfortunately there are many pitfalls when performing privileged file operations. We assume that even power users tend to make mistakes when running shell commands as root operating in directories controlled or influenced by non-root users, like in /tmp. Following is some general advice that can help to avoid such mistakes.

For a start, APIs like kio-admin and gvfs are usually safe to use when file operations happen in directories owned by root, like in /etc (note that sub-directories of /etc can again be owned by non-root users). Special care should be taken when changing files in directories controlled by another user, like another user’s home directory or files owned by a service user account.

In such scenarios it is safer to perform the operations in a root shell, and one should be very careful not to follow symbolic links while doing so. Many file management utilities offer specific switches to avoid following them. The chmod utility, for example, will by default follow symbolic links in the target file path unless the -h switch is passed to it.

Even these switches only protect against symbolic links in the final component of a path. Consider the command chmod -h 644 /var/lib/chrony/sub-dir/target. /var/lib/chrony is controlled by the chrony service user account. Thus the unprivileged chrony user can turn sub-dir into a symbolic link pointing to a privileged location like /etc. If /etc/target existed then the command above would make this file world-readable.

Therefore an even better approach to editing files owned by another account is to assume their identity, for example by invoking sudo -u <user> -g <group> /bin/bash. This way no elevated privileges that could be abused by a compromised account are present in the first place.

6) Next Steps for Inclusion of kio-admin

Documenting our concerns in this blog post is the first step of the process to add kio-admin to openSUSE. We will reference this blog post and some hints in dedicated README files added to the kio-admin and gvfs packages. We will also document this in the openSUSE wiki. When all of this is done we will perform the necessary steps to allow kio-admin into openSUSE Tumbleweed, which we believe will happen within the next two weeks.

7) References

• kio-admin Git Repository
• Dolphin file manager Git repository
• KTextEditor Git repository
• GNOME gvfs wiki page

La noticia no es nueva, pero hasta hoy no me había percatado de que la aplicación crow-translate ahora forma parte del ecosistema de la comunidad KDE

Desde que conocí la aplicación crow translate para traducir texto en mi sistema, ha sido una aplicación imprescindible para mí y ya en 2020 escribí sobre ella en el blog:

• https://victorhckinthefreeworld.com/2020/04/27/crow-translate-aplicacion-simple-ligera-y-de-software-libre-para-traducir-texto/

Antes su desarrollo se realizaba en su repositorio en Github, y hoy me encuentro que desde el pasado julio de 2024 la aplicación ha pasado a formar parte de la comunidad KDE.

¿Qué implica eso? Que el desarrollo ahora se realiza en un repositorio git de un servidor propio de KDE, que tendrá reportes utilizando el sistema de reporte de errores de KDe, que tendrá detrás toda la comunidad de KDE para mantener el programa, que será traducido a multitud de idiomas y que se integrará mejor con el escritorio Plasma de KDE.

Como usuario de Crow translate y como usuario de Plasma, el escritorio de KDE, yo creo que todos estos cambios son ventajas.

La aplicación se abre al incio del sistema y el uso más común que le doy es seleccionar un texto de una página web, o de un documento, etc y pulsar la combinación de teclas Ctrl+Alt+E lo que me abre la ventana con la traducción que puedo consultar, copiar, escuchar.

Además para quienes usan mucho la línea de comandos, crow translate también se puede manejar desde la línea de comandos y nos ofrecerá traducciones en la terminal lo que también puede ser interesante.

Aplaudir la decisión tanto de crow translate como de KDE de colaborar juntos con esta aplicación que se convierte en una imprescindible en mi sistema GNU/Linux con Plasma. Si no la has probado te animo a que lo hagas y compruebes su utilidad.

Ha pasado una semana desde el lanzamiento de Plasma 6.3 y es hora de empezar a mostrar qué ofrece para seguir siendo considerado el escritorio más vanguardista. En esta ocasión sigo la serie con las novedades gráficas de Plasma 6.3 ya que la mejora de la calidad de las pantallas no puede ser ignorada por los desarrolladores.

Novedades gráficas de Plasma 6.3

El pasado 4 de febrero fue lanzado Plasma 6.3, una actualización mayor del entorno de trabajo más moderno, funcional y llenos de posibilidades que te puedes instalar en tu PC, y a un precio ridículo: 0 €. Solo requiere que inviertas tiempo para aprender a hacerlo.

Esta versión consolida su gran paso de tecnologías QT5/KF5 a QT6/KF6 en tiempo récord, abriendo un abanico de posibilidades nunca antes vistas, como se puede ver en las novedades gráficas: mejoras en las ampliaciones, en las variaciones de tono de la pantalla o en los plasmoides.

En palabras de sus desarrolladores:

La novedad más importante relacionada con los gráficos es una enorme revisión del funcionamiento del escalado fraccionario. En Plasma 6.3, KWin realiza un gran esfuerzo para ajustar los elementos a la cuadrícula de píxeles de la pantalla, lo que reduce en gran medida la borrosidad y las fisuras visuales y produce imágenes más nítidas y definidas.

Esto también funciona en niveles muy altos de ampliación, ya que el efecto de ampliación de KWin cambia a una representación nítida y perfecta de píxeles y superpone una cuadrícula sobre la pantalla. De hecho, se puede mostrar cómo se ven los píxeles individuales en relación con otros. Muy útil para artistas y diseñadores.

En lo que se refiere al color, los colores de la pantalla son más precisos cuando se usa la función de Luz nocturna, independientemente del uso de perfiles ICC, y KWin ofrece la opción de escoger la precisión del color de la pantalla (aunque a veces puede afectar al rendimiento del sistema).

Un detalle menor aunque interesante es que los widgets situados en el escritorio son ligeramente traslúcidos, al igual que las ventanas emergentes de los widgets que residen en el panel:

Más información: KDE

Las novedades generales de Plasma 6.3

Aprovecho para realizar un listado de las novedades generales de Plasma 6.3 novedades extraídas de 9to5linux.

• Posibilidad de clonar un panel.
• Posibilidad de establecer atajos de teclado para mover ventanas entre zonas de mosaicos de Custom Tiling en función de la direccionalidad.
• Soporte para recordar el escritorio virtual activo por actividad.
• Página renovada de la tableta gráfica en la configuración del sistema.
• Opción de preferir la precisión del color de la pantalla en KWin.
• Notificaciones de batería baja para auriculares inalámbricos que expongan adecuadamente la información de la batería.
• Nueva configuración el touchpad para que se desactive automáticamente al conectar un ratón.
• Mejor escalado fraccional para todos.
• Los widgets colocados en el escritorio sean ligeramente translúcidos.
• Asignación una contraseña aleatoria por defecto al punto de acceso a la red.
• Nuevo servicio para detectar y avisar a los usuarios con una notificación explicando lo que ocurre cuando el sistema se queda sin memoria y el kernel termina una aplicación.
• Plasma Discover ha sido actualizado para mostrar a los usuarios cuando las aplicaciones han sido empaquetadas directamente por su desarrollador o verificadas por un tercero de confianza.
• Mayor precisión el progreso de la instalación.

• Posibilidad de desactivar temporalmente las reglas de ventana de KWin en lugar de eliminarlas.
• Indicador de agrupación en el widget Administrador de tareas ahora sigue el color de acento actual.
• Los iconos simbólicos apropiados ahora serán sustituidos automáticamente por iconos de aplicaciones en el área de la bandeja del sistema.
• La aplicación Centro de información ahora mostrará todas tus GPUs y el recuento de ciclos de la batería de tu portátil.
• Posibilidad de intercambiar las funciones de los botones del lápiz de la tableta de dibujo.
• Se podrá mostrar la cola de impresión de cada impresora en línea y un spinner ocupado para cualquier impresora que esté imprimiendo en ese momento en el widget Impresoras.
• Se notificará a los usuarios en la pantalla de cierre de sesión cuando reinicien su sistema en el menú del gestor de arranque.
• Eliminado la categoría de menú «Configuración» del lanzador de aplicaciones Kickoff y todo su contenido se ha trasladado a la categoría «Sistema».

Más información: KDE

La entrada Novedades gráficas de Plasma 6.3 se publicó primero en KDE Blog.