First fully sandboxed Linux desktop app

Now that the basics are working it’s time to start looking at how to create a real sandbox. This is going to require a lot of changes to the Linux stack. For instance, we have to use Wayland instead of X11, because X11 is impossible to secure. We also need to use kdbus to allow desktop integration that is properly filtered at the kernel level.

я не понял, там по ссылке обещанны гном 4.0 не в виртуалке?

Бяда бяда, эра перехода к вебу заканчивается не успев начаться. И всё дело вот в таких вот идеях. Полное опесочивание - это как микроядро: красиво выглядит, звучит, но тыкаешь его и оно говно, оверхед просто гигантский.

Зайду с другой стороны, вот у хрома есть такая простая вещь как native messaging. Вроде бы всё ок, но гонять туда-сюда сериализованные данные просто потому, что ради чистоты - это мягко говоря бред. Если мы допустим готовим на одной стороне медиа поток, а на другой стороне его используем - то это не то что бред, это финиш. Но ведь это они и предлагают, других то способов инкапсуляции не используют. Всякие там разделямые памяти для хранение объектов, а не их дублирования - ничего.

Возвращаясь к песочным линукс. Такая же ботва будет. dbus просто ядерный будет, а толку ноль. Всё равно будут толкать потоки туда и сюда и умирать будет система от таких толканий. А вопрос почему? Да ведь просто - нет доступа к fs, а значит поток напрямую не взять. А значит надо толкать туда, потом сюда.

И тормознутость вовсе не из-за javascript, достаточно комплексный код на gjs с gtk, clutter, gstreamer работает быстро и много есть не просит. Но стоит туда добавить совсем немного каналов взаимодействий и уйти от прямых связей, как кормить будет нечем и требуется i7.

PS: выдохнул, закусил, выпил. Похоже просто каждый 10 лет мы возвращаемся туда от куда начали - в жопу.

Это что, они таки этим утверждают, что для лучшего sandbox надо юзеровый IPC тянуть глубоко в ядро (kdbus)??? LOL. Скорее, они просто берут то, что есть.

О, хорошо озвучил, что меня смущает. Помню, для меня шоком в 1999-м было узнать, что SOAP пропихивают вообще везде, даже где он не нужен.

Твой PS мне вечер сделал

не мешай людям придумывать «интересные проекты» (c)(r)(tm)! Не все ретрограды с олд олдстэйбл дебианом. Некоторые еще и научно-технический прогресс скатывают.

Нахрена это говно нужно? Для того, чему не доверяешь, есть chroot.

закусил, выпил

докатились... Теперь уже и пьют через ж#пу

оверхед просто гигантский

Расскажите по-подробней, в чем здесь оверхед?

Да ведь просто - нет доступа к fs, а значит поток напрямую не взять. А значит надо толкать туда, потом сюда

В данном решении есть настройки --allow=homedir, --allow=host-fs и другие. Читайте вики

В том, что песочница это без всякого прямого доступа. А значит для доступа к одному и тому же объекту из разных мест будет этот объект копироваться как минимум, ну с скорее всего сериализоваться-десериализоватья и тд.

Само по себе знание того, где конкретно файл находится уже является нарушением идеи изоляции, ведь это раскрытие информации, которой знать не положено. В данном решении эти найстройки есть потому, что чистая песочница вообще работать будет в практических приложения. И вот чтобы это подпереть, сделали такой костыль. Однако подобные подпорки хоть и есть, они есть запасной случай, то есть по дефолту надо будет вырывать гланды через зад, а если не хочется чтобы через зад(то есть хочется напрямую), то надо будет таки залезть в задницу, нащупать там желудок и включить нужную опцию.

В том, что песочница это без всякого прямого доступа

https://github.com/alexlarsson/xdg-app - можете показать в коде где происходит «копирование как минимум» или сериализация\десериализация?

знание того, где конкретно файл находится уже является нарушением идеи изоляции, ведь это раскрытие информации, которой знать не положено

Вы путаете виртуализацию и контейнеры с песочницей.