Wayland vs X11: qual é mais seguro? (2026)
Num ambiente de trabalho Linux focado na segurança, um componente decide em silêncio se uma app pode espiar outra: o servidor de exibição. Durante décadas foi o X11 (o X Window System), concebido nos anos 80 sem qualquer isolamento entre programas. O Wayland é o substituto moderno construído precisamente para corrigir isso. Eis o que cada um faz, as ressalvas honestas e porque um ambiente de trabalho reforçado deve preferir o Wayland.
O problema de fundo do X11
O X11 foi construído para um mundo de programas de confiança numa máquina partilhada, por isso dá a cada app ligada acesso a quase tudo o que está no ecrã. No X11, qualquer programa em execução pode, por conceção:
- Registar cada tecla que digita, em qualquer janela, sem privilégios especiais.
- Capturar o conteúdo de qualquer outra janela, incluindo um gestor de palavras-passe ou um separador bancário.
- Injetar entradas sintéticas noutras aplicações, clicando e digitando como se fosse você.
Não é um bug - é como o X11 funciona, e ferramentas padrão como xdotool e xinput dependem disso. A consequência para a segurança é séria: uma única app maliciosa ou comprometida numa sessão X11 pode vigiar e controlar tudo o resto que você faz.

Como o Wayland muda isto
O Wayland inverte o padrão. Uma app Wayland normalmente só consegue ver as suas próprias janelas e a entrada dirigida a ela - não as janelas de outras apps, nem as suas teclas globais. O compositor medeia tudo, por isso não há um livre acesso partilhado. Tirar uma captura de ecrã ou partilhar o ecrã exige um portal explícito (via xdg-desktop-portal) que pede o seu consentimento.
Isto conta mais do que parece à primeira vista. As sandboxes de aplicações como o Firejail e o Flatpak são apenas tão fortes quanto a camada de exibição por baixo: no X11, uma app em sandbox ainda pode registar teclas e capturar o ecrã através do servidor de exibição, derrotando em silêncio a sandbox. O Wayland fecha essa via de fuga.

As ressalvas honestas
O Wayland é uma melhoria real, não um escudo mágico. Seja claro quanto aos limites:
- XWayland. Muitas apps ainda correm através do XWayland, uma camada de compatibilidade X11. As apps dentro do XWayland ainda se podem espiar umas às outras - mas não as apps Wayland nativas. Mantenha as apps sensíveis em Wayland nativo quando puder.
- Algumas ferramentas precisam de amplo acesso. Gravadores de ecrã, ambiente de trabalho remoto, automação e ferramentas de acessibilidade precisam legitimamente de mais. Existem portais para isso, mas a experiência é mais rude do que o tudo-permitido do X11.
- É isolamento de exibição, não de processos. O Wayland trava a espionagem de ecrã e teclado; não trava uma app maliciosa a correr como o seu utilizador que lê os seus ficheiros. Combine-o com uma sandbox e um modelo de ameaça claro.
Que ambientes de trabalho usam Wayland por predefinição
Nas distribuições modernas, o GNOME e o KDE Plasma usam Wayland por predefinição (Fedora, Ubuntu recente e outros). Algumas configurações ainda iniciam uma sessão X11 - instalações mais antigas, ou certos casos limite de controladores em grande parte resolvidos. Pode verificar a sua sessão com:
echo $XDG_SESSION_TYPE # imprime "wayland" ou "x11"
Deve mudar?
Para um ambiente de trabalho consciente da segurança, sim: prefira uma sessão Wayland e execute as apps sensíveis de forma nativa em vez de através do XWayland. Remove toda uma classe de espionagem quotidiana e complementa o resto da sua configuração - encriptação completa do disco, sandboxes de aplicações e as medidas do nosso guia de reforço do Linux. Encare-o como uma camada, escolhida de propósito, não uma bala de prata.
Conclusão
O design aberto do X11 permite que qualquer app vigie todo o seu ambiente de trabalho - as suas teclas e cada janela. O Wayland fecha isso ao isolar as apps e ao colocar a captura de ecrã atrás de um consentimento explícito. Prefira o Wayland, mantenha as apps sensíveis fora do XWayland e combine-o com uma sandbox e um modelo de ameaça. Não é uma cura para tudo, mas elimina uma das formas mais fáceis de uma app maliciosa espiar tudo o que você faz.