secure-os.org
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
linux

Wayland vs X11: quale è più sicuro? (2026)

secure-os· Aggiornato 9 luglio 2026· 4 min di lettura #linux#wayland#x11#hardening
Una finestra di editor di codice su uno schermo illuminato da luce calda

Su un desktop Linux orientato alla sicurezza, un componente decide in silenzio se un’app può spiarne un’altra: il server di visualizzazione. Per decenni è stato X11 (l’X Window System), progettato negli anni ‘80 senza alcun isolamento tra i programmi. Wayland è il sostituto moderno costruito proprio per correggere questo. Ecco cosa fa ciascuno, i limiti onesti e perché un desktop rafforzato dovrebbe preferire Wayland.

Il problema di fondo di X11

X11 è stato costruito per un mondo di programmi fidati su una macchina condivisa, quindi dà a ogni app connessa accesso a quasi tutto ciò che è sullo schermo. Su X11, qualsiasi programma in esecuzione può, per progettazione:

  • Registrare ogni tasto che digiti, in qualsiasi finestra, senza privilegi speciali.
  • Catturare il contenuto di qualsiasi altra finestra, incluso un gestore di password o una scheda bancaria.
  • Iniettare input sintetici in altre applicazioni, cliccando e digitando come se fossi tu.

Non è un bug - è come funziona X11, e strumenti standard come xdotool e xinput ci fanno affidamento. La conseguenza per la sicurezza è seria: una singola app malevola o compromessa in una sessione X11 può osservare e controllare tutto il resto di ciò che fai.

Una finestra di editor di codice su uno schermo - su X11, qualsiasi altra app in esecuzione può leggere il contenuto di questa finestra e i tuoi tasti.

Come Wayland cambia le cose

Wayland ribalta il valore predefinito. Un’app Wayland normalmente può vedere solo le proprie finestre e l’input a essa destinato - non le finestre di altre app, né i tuoi tasti globali. Il compositor media tutto, quindi non c’è un libero accesso condiviso. Fare uno screenshot o condividere lo schermo richiede un portale esplicito (tramite xdg-desktop-portal) che chiede il tuo consenso.

Conta più di quanto sembri a prima vista. I sandbox delle applicazioni come Firejail e Flatpak sono forti solo quanto lo strato di visualizzazione sottostante: su X11, un’app in sandbox può ancora registrare i tasti e catturare lo schermo tramite il server di visualizzazione, sconfiggendo silenziosamente il sandbox. Wayland chiude questa via di fuga.

Una tastiera retroilluminata sotto uno schermo in stile terminale - su X11, qualsiasi programma in esecuzione può registrare silenziosamente ogni tasto che premi; Wayland lo blocca per impostazione predefinita.

I limiti onesti

Wayland è un miglioramento reale, non uno scudo magico. Sii chiaro sui limiti:

  • XWayland. Molte app girano ancora tramite XWayland, uno strato di compatibilità X11. Le app dentro XWayland possono ancora spiarsi a vicenda - ma non le app Wayland native. Tieni le app sensibili su Wayland nativo quando puoi.
  • Alcuni strumenti hanno bisogno di ampio accesso. Registratori dello schermo, desktop remoto, automazione e strumenti di accessibilità ne hanno legittimamente bisogno. Esistono portali per questo, ma l’esperienza è più ruvida del tutto-permesso di X11.
  • È isolamento del display, non dei processi. Wayland ferma lo spionaggio di schermo e tastiera; non ferma un’app malevola che gira come il tuo utente e legge i tuoi file. Abbinalo a un sandbox e a un modello di minaccia chiaro.

Quali desktop usano Wayland di default

Sulle distribuzioni moderne, GNOME e KDE Plasma usano Wayland di default (Fedora, Ubuntu recente e altri). Alcune configurazioni avviano ancora una sessione X11 - installazioni più vecchie o certi casi limite di driver ormai in gran parte risolti. Puoi controllare la tua sessione con:

echo $XDG_SESSION_TYPE   # stampa "wayland" o "x11"

Dovresti passare?

Per un desktop attento alla sicurezza, sì: preferisci una sessione Wayland ed esegui le app sensibili in modo nativo invece che tramite XWayland. Rimuove un’intera classe di spionaggio quotidiano e completa il resto della tua configurazione - crittografia completa del disco, sandbox delle applicazioni e le misure della nostra guida all’hardening di Linux. Consideralo uno strato, scelto di proposito, non una bacchetta magica.

In sintesi

Il design aperto di X11 permette a qualsiasi app di osservare tutto il tuo desktop - i tuoi tasti e ogni finestra. Wayland chiude questo isolando le app e mettendo la cattura dello schermo dietro un consenso esplicito. Preferisci Wayland, tieni le app sensibili fuori da XWayland e abbinalo a un sandbox e a un modello di minaccia. Non è una cura per tutto, ma elimina uno dei modi più facili per un’app malevola di spiare tutto ciò che fai.