Di mana berhenti sandboxing?


1

Saya menggunakan aplikasi iAntivirus Norton dari Mac App Store untuk memindai seluruh hard drive saya. Seperti yang diharapkan, itu memberi saya dialog Buka di root hard drive saya. Saya mengklik "Buka" dan membiarkannya memindai. Ini membuat saya bertanya-tanya ... jika pengguna membuka direktori di dialog Buka, apakah ini memberikan akses aplikasi kotak pasir ke semua konten folder, bahkan jika pengguna tertentu mungkin tidak memiliki izin untuk mengakses beberapa dari mereka?


2
"Jika pengguna tertentu mungkin tidak memiliki izin untuk mengakses beberapa dari mereka". Kedengarannya sangat tidak masuk akal. Aplikasi berpasir masih berjalan di bawah izin pengguna yang diberikan, hanya membatasi aplikasi lebih lanjut.
Thilo

Beberapa aplikasi memang meminta hak admin.
Dan Rosenstark

2
Aplikasi App Store tidak seharusnya meminta hak admin.
Ken Aspeslagh

Jawaban:


0

Hak baca-tulis atau hak baca-tulis adalah persyaratan tambahan yang harus mengakses sistem file saat berjalan di bawah sandbox. Untuk setiap item di luar wadah aplikasi maka aplikasi harus diberikan hak baca-tulis atau baca-tulis - baik secara statis melalui kepemilikan yang dikompilasi ke dalam aplikasi atau secara dinamis oleh pengguna memilih file atau folder - dan pengguna harus memiliki sistem file yang sesuai akses langsung ke item sistem file.

Misalnya jika pengguna memberikan akses baca-tulis aplikasi Anda ke folder Publik pengguna lain menggunakan dialog file standar, itu tidak mengubah bahwa pengguna hanya dapat membaca konten Publik dan menulis ke folder Drop Box yang terkandung.

Tunduk pada persyaratan untuk hak akses sistem file yang tepat, pengguna yang memberikan akses kotak pasir melalui dialog file standar ke folder memberikan akses ke seluruh hierarki file yang di-root di folder itu.


0

Aplikasi berpasir hanya diberikan akses ke apa yang dapat diakses pengguna. Jadi, jika pengguna membuka folder dalam dialog Buka yang mereka tidak memiliki izin untuk mengakses, aplikasi tidak akan dapat membukanya juga. Saya menguji ini pada OS X 10.8.3. Saya memberi pengguna saya Tidak ada izin akses ke folder di desktop saya, membuka desktop dalam dialog Open, dan kemudian mencoba untuk menulis file ke folder terbatas. Tindakan gagal dengan kesalahan, Anda tidak memiliki izin untuk menyimpan file "file" di folder "dibatasi".

Perhatian utama saya adalah bahwa sandboxing dikelola oleh daemon sandbox sandboxd,, yang dimiliki oleh pengguna root. Oleh karena itu, saya khawatir hal itu sandboxdakan memberikan aplikasi akses tidak terbatas ke apa pun yang dibuka dalam dialog Buka (karena pengguna root dapat mengakses apa pun), tetapi ini tidak terjadi.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.