История изменений

seccomp (оригинальный) никаких усилий не требует, это механизм с семантикой вкл/выкл. seccomp-bpf — это механизм, а ты хочешь политику, чтобы за тебя решили, как сгруппировать сисколлы. Сделай libpledge, если так хочешь.

Я хочу вменяемый sandboxing, который я, как разработчик, смогу легко и просто использовать в своей программе, шоп она потом работала в любом дистрибутиве без костылей. Морда к BPF это ни разу не оно, потому что требует слишком много усилий, а поведение будет различаться в разных версиях glibc и между разными libc.

Во-первых, нет (см. выше).

Ну я бы послушал, чем интерпретатор отличается от JIT-компилятора с точки зрения безопасности, лол.

Во-вторых, не очень понимаю, что ты хочешь этим сказать.

Ну как бы штуковина, способная выполнять произвольный код, в которой регулярно находят переполнения интов и проблемы с проверкой граничных условий... я даже не знаю, что может пойти не так :)

seccomp (оригинальный) никаких усилий не требует, это механизм с семантикой вкл/выкл. seccomp-bpf — это механизм, а ты хочешь политику, чтобы за тебя решили, как сгруппировать сисколлы. Сделай libpledge, если так хочешь.

Я хочу вменяемый sandboxing, который я, как разработчик, смогу легко и просто использовать в своей программе, шоп она потом работала в любом дистрибутиве без костылей. Морда к BPF это ни разу не оно, потому что требует слишком много усилий, а поведение будет различаться в разных версиях glibc и между разными libc.

Во-первых, нет (см. выше).

Ну я бы послушал, чем интерператор отличается от JIT-компилятора с точки зрения безопасности, лол.

Во-вторых, не очень понимаю, что ты хочешь этим сказать.

Ну как бы штуковина, способная выполнять произвольный код, в которой регулярно находят переполнения интов и проблемы с проверкой граничных условий... я даже не знаю, что может пойти не так :)

seccomp (оригинальный) никаких усилий не требует, это механизм с семантикой вкл/выкл. seccomp-bpf — это механизм, а ты хочешь политику, чтобы за тебя решили, как сгруппировать сисколлы. Сделай libpledge, если так хочешь.

Я хочу вменяемый sandboxing, который я, как разработчик, смогу легко и просто использовать в своей программе, шоп она потом работала в любом дистрибутиве без костылей. Морда к BPF это ни разу не оно, потому что требует слишком много усилий, а поведение будет различаться в разных версий glibc и между разными libc.

Во-первых, нет (см. выше).

Ну я бы послушал, чем интерператор отличается от JIT-компилятора с точки зрения безопасности, лол.

Во-вторых, не очень понимаю, что ты хочешь этим сказать.

Ну как бы штуковина, способная выполнять произвольный код, в которой регулярно находят переполнения интов и проблемы с проверкой граничных условий... я даже не знаю, что может пойти не так :)

seccomp (оригинальный) никаких усилий не требует, это механизм с семантикой вкл/выкл. seccomp-bpf — это механизм, а ты хочешь политику, чтобы за тебя решили, как сгруппировать сисколлы. Сделай libpledge, если так хочешь.

Я хочу вменяемый sandboxing, который я, как разработчик, смогу легко и просто использовать в своей программе, шоп она потом работала в любом дистрибутиве без костылей. Морда к BPF это ни разу не оно.

Во-первых, нет (см. выше).

Ну я бы послушал, чем интерператор отличается от JIT-компилятора с точки зрения безопасности, лол.

Во-вторых, не очень понимаю, что ты хочешь этим сказать.

Ну как бы штуковина, способная выполнять произвольный код, в которой регулярно находят переполнения интов и проблемы с проверкой граничных условий... я даже не знаю, что может пойти не так :)

seccomp (оригинальный) никаких усилий не требует, это механизм с семантикой вкл/выкл. seccomp-bpf — это механизм, а ты хочешь политику, чтобы за тебя решили, как сгруппировать сисколлы. Сделай libpledge, если так хочешь.

Я хочу вменяемый sandboxing, который я, как разработчик, смогу легко и просто использовать в своей программе, шоп она потом работала в любом дистрибутиве без костылей. Недо

Во-первых, нет (см. выше).

Ну я бы послушал, чем интерператор отличается от JIT-компилятора с точки зрения безопасности, лол.

Во-вторых, не очень понимаю, что ты хочешь этим сказать.

Ну как бы штуковина, способная выполнять произвольный код, в которой регулярно находят переполнения интов и проблемы с проверкой граничных условий... я даже не знаю, что может пойти не так :)