Журнал Витуса

Или программе ты доверяешь, или нет, если нет, то незачем ее вообще запускать. А пустить к себе черт знает что и надеяться, что из chroot не выберется и настоящую записную книжку не достанет - глупо как-то.

From:

Или ты chroot доверяешь, или нет, если нет - незачем там чтолибо запускать :)

From:

angry-elf.livejournal.com

> Или программе ты доверяешь, или нет, если нет, то незачем ее вообще запускать.

Я доверяю игрушке захватывать экран, клавиатуру и мышь, но не доверяю коннектиться к серверам за пределами локалки (допустим, сетевая игрушка).

Я доверяю жаббер-клиенту коннектится в сеть, но не шарить по локальным файлам за пределами каталога с его конфигом и хранилищем истории переписки.

Много чего можно накрутить при грамотном подходе. SELinux, правда, начинает напоминать...

From:

Как незачем? Дело то надо как-то делать. А программ, которым стоит доверять, в мире есть две штуки - TeX и Metafont. И то надо смотреть чем компилировали.

From:

edo-rus.livejournal.com

тогда всю unix-систему прав (и windows, и posix-acl) нафиг - или мы доверяем пользователю (и он рут) или нет (и у него нет аккаунта).

From:

На персоналке - именно так. Никакого смысла в системе прав на ней нет: нужные и ценные для пользователя данные ему же и доступны, а всё остальное есть на любом диске с дистрибутивом.

From:

Пользователь «персоналки» имеет свойство тащить на неё всякую дрянь.

From:

И posix-like система прав никак ему не поможет в борьбе с этой дрянью.

From:

Поможет. Во всяком случаае она помешает дряни привести систему в unbootable состояние. Что неоднократно у меня случалось в DOS.

Но вообще posix-like система прав не расчитана на противодействие "дряни, которую притащит пользователь". Вот в андроиде с этим уже чуточку получше. Но его авторы, похоже не читали классическую статью Остерхута. И поэтому их система разрешений ни от чего не защищает.

From:

Unbootable давно не в моде, уж лет десять как дрянь не портит систему, а ворует деньги.

From:

Unbootable бывает не из-за злой воли, а из-за ошибки. Всё-таки если по порносайтам не ходить, вероятность словить злонамеренную дрянь намного меньше, чем вероятность словить просто кривую дрянь.

From:

potan.livejournal.com

К конфигурациям хорошо применима идея наследования из ООП. Рабочая конфигурация просто наследуется от специфичной для приложения, пользователя, системной, корпоративной и тд, и тп. Когда я занимался текстовыми шаблонами (в которых наследование широко использовалось), такая идея обсуждалось. Но дало сильно дальше обсуждения не зашло.

From:

Ровно потому что идея наследования в общем виде слишком мощна, а значит
а) слишком ресурсоемка,
б) слишком трудна для понимания (в смысле осознания последствий какого0-нибудь дизайн-решения).

Весь вопрос в том, как ограничить понятие "набор конфигурационных параметров" так, чтобы с одной стороны осталась достаточная мощность, с другой - чтобы было поменьше мощности избыточной.

From:

Не "слишком мощна", а не пытались её описать по-человечески. И то, наверное, пытались - поискать надо.

From:

Почему странные? 1 — много где есть, 2 — сам приводишь примеры (а заставить всех пользоваться определённой абстракцией никому не удавалось), 3 — всеми руками за (правда, начнётся война «брони и снаряда», программы начнут требовать непустую записную книжку, да ещё и с работающими адресами), 4 — здесь проблема в конечном пользователе, наличие большого непонятного выбора вгонит его в ступор (т.е. для 99.9% потребителей это не нужно и вредно).

From:

То, что для 99% что-либо не нужно, не означает что оно не нужно совсем.

From:

Ресурсы ограничены. И вкладываться в основную массу выгоднее.

From:

У вкладывающихся в основную массу зато конкуренция. В которой гугля не переиграешь. Вон даже Nokia и та слила.

А на нишевых рынках жизнь может не очень сытная, зато спокойная, если нишу занял, то хрен тебя кто из неё выпихнет.

From:

Ну вот Гугль в Андроид и вкладывает.

Вот если дать возможность заниматься этим (управлением правами) сторонней программе — может быть такая программа и появится. А может и нет.

Нишевая жизнь спокойная, пока ею не заинтересовался кто-либо из гигантов. Вот выкупила МС ДаблСпейс — и лидеру ниши Стэкеру (и ещё нескольким догонялам) пришли кранты. Аналогично с МагикФолдерс, Адобовским менеджером шрифтов, расширителями памяти, драйверами клавиатуры, и разными многими системными утилитами, ставшими частью ОС. Даже антивирусы и брандмауэры прижало.

From:

"сторонняя программа, занимающаяся управлением правами" должна быть наиболее доверенной частью операционной системы. На уровне примерно ядра или тех библиотек, которые проверяют подпись под кодом.

Вообще эта штука должна достаточно естественно интегрироваться с системой подписей под кодом. Потому что доверять примерно на одинаковом уровне всем приложениям данного автора - вполне разумное умолчательное поведение.

From:

Разумеется, разумеется.

From:

Вы смотрите с позиции бизнеса, который собирается вкладывать бабло.

С позиции человека, который знает, чего хочет, и решает _свои_ проблемы - все совсем иначе.

From:

Ну и что?

From:

Ну например, за последние 30 лет появилось и успешно умерло довольно много текстовых редакторов. Некоторые из них были даже ориентированы на массового потребителя.
Однако vi и emacs до сих пор живее всех живых.
Напрашивается простой вывод: качественный нишевой продукт - гораздо более эффективная цель для вложения ресурсов чем ширпотреб.

From:

И много-ли какая корпорация вложила в vi и emacs? Какой процент прибыли она получила?

From:

Коммерческие клоны emacs-а когда-то были. Все трупы уже очень давно.
C vi - примерно аналогичная ситуация. Отдельных коммерческих клонов я для него не припомню, но в составе других коммерческих продуктов - бывало.
Оч хорошая иллюстрация "а вот придет в нишу большая корпорация".

Что собственно и возвращает к тому с чего начали:
стратегии для корпорации и для потребителя принципиально отличаются.
Там где потребителю хотелось бы стейк с молодой картошкой, корпорации норовят подсунуть соевый белок с крахмалом.

IT имеет ту особенность, что ряд потребностей квалифицированных потребителей вполне удовлетворяются без привлечения корпораций и мегабабла.
Т.е. утверждение "X ненужно, потому что оно непонятно массовому потребителю", применительно к обсуждаемой области, неверно, поскольку есть примеры строго противоположного.

From:

Ну вот, вкладывающиеся в vi и emacs трупы, а в Microsoft Word — заработали миллиарды.

стратегии для корпорации и для потребителя принципиально отличаются.

И чья это проблема (если вообще существует эта проблема)? И кто и как будет её решать?

Т.е. утверждение "X ненужно, потому что оно непонятно массовому потребителю", применительно к обсуждаемой области, неверно, поскольку есть примеры строго противоположного.

Вы мне собираетесь приписать это утверждение?

From:

Ну вот, вкладывающиеся в vi и emacs трупы, а в Microsoft Word — заработали миллиарды.
И что? На наркоте норма прибыли еще выше, а что наркота, что Word для меня одинаково бесполезны. Ибо не решают моих задач.

И чья это проблема (если вообще существует эта проблема)?
Это вообще не проблема. Это такое свойство мироустройства.

Вы мне собираетесь приписать это утверждение?
Нет, ну что вы, это я тому кто спорил с http://vitus-wagner.dreamwidth.org/784118.html?thread=30758902#cmt30758902

From:

Кто спорил?

From:

Вот зачем благонамеренной программе доступ к контактам, если она не занимается их менеджментом?

Вообще бы стоило заставлять авторов программ на каждое разрешение писать зачем оно надо. И так, чтобы пользователь понял.

В принципе часто бывает, что разработчики под android запрашивают те разрешения, которые им нафиг не нужны. А у пользователя нет даже возможности поторговаться "А вот я тебе этого разрешения не дам. Будешь работать?"

From:

Ну как зачем? Чтобы уведомить всех знакомых, что ты стал счастливым пользователем программы.

Отмазка всегда найдётся. Например, навигационная программа отметит на карте координаты твоих контактов (вдруг ты даже не знаешь, что со своим онлайновым знакомым живёте в соседних домах?) и в день их рождения заменит маркер на букетик цветов.

From:

А вот когда оно мне явным образом скажет "а вот для этого", я должен иметь возможность сказать "нет, ну его нафиг - мне эта функциональность не нужна. Не дам я некту яблока, хоть он дерись". В Android этого, увы, нет.

Возможность подпихивания фейковой записной книжки - это для того, чтобы не требовать со всех авторов приложений "делайте так, чтобы ваше приложение не падало, если юзер не дал разрешения на какую-нибдуь опциональную фигню."

From:

stanislavvv

Не совсем нет. Скорее, нет по-умолчанию.
Есть менеджеры разрешений, которые позволяют отрывать их от программы (хотят рута, естественно). Правда, программы могут не понять такого авангардизма.
Еще, в какой-то из альтернативных прошивок можно давать программам фейковые разрешения, чтоб таки работали, но не ковырялись в реальной адресной книге, к примеру. Но поскольку на мой телефон альтернативные прошивки не ставятся - глубоко не искал.

From:

Ну в общем-то я и имел в виду "по умолчанию". В ОС, как она из коробки идет. А так, вообще-то неудивительно что эти идеи не мне первому в голову пришли.

From:

vikarti_anantra

у пользователей вендорского андроида - нет
если есть рут - то есть LBE Privacy Guard, дающая возможность оторвать что не надо (и разумеется приложение может и упасть),closed source
в CyanogenMod 7 - Permission Manager был частью его
в базовый андроид - есть тикеты http://code.google.com/p/android/issues/detail?id=10340 и http://code.google.com/p/android/issues/detail?id=6266#c101 как раз на эту тему

писать зачем...ну в маркете хорошие разработчики - пишут

кстати, хорошая особенность iOS - те вещи, на которые там таки нужно разрешение пользователя(GPS/контакты/etc) - можно отказаться, можно отозвать потом.

From:

http://vitus_wagner.livejournal.com/149314.html ;-)

В CyanogenMod возможность поторговаться есть, кстати.

From:

slobin

... Дайте мне другой яндекс! ...

From:

edo-rus.livejournal.com

3 - меня раздражает подход, принятый в android.
или я даю доступ к контактам или программа не устанавливается, вариант "запустить, но не давать доступ к контактам" не предусмотрен.

во многом (как я думаю) это реверанс в сторону разработчиков софта (например, хотите зарабатывать на рекламе - пока пользователь не согласится на доступ к сети он программу не поставит)

From:

sumarov.com

Пункт 3 частично реализован.
На маркете не много приложенией которые дают возможность управлять раздачей прав. Частично эту функциональность пытаются взять на себя антивирусы(пришедшие с десктопов) и фаерволы.
Так как для того чтобы контролировать права надо самому иметь максимум прав, поэтому подобный функционал требует как минимум рута как максимум патчей в kernel & dalvik.
Наиболее похожее на ваши требования из того что мне встечалось это "PDroid - The Better Privacy Protection". вот его тема на xda http://forum.xda-developers.com/showthread.php?t=1357056

И поскольку подобный функционал не востребован массово то и отлаженного продукта работающего всегда и везде пока не получается.

From:

Ага!

From:

О! Я как минимум о трёх первых пунктах уже пару лет твержу. Только к "per-XXX" надо на каком-то уровне добавить "per-session". И сессии эти должны спокойно клонироваться. Потому что если я запускаю IM в контексте работы - от него одни настройки нужны, а в контексте свободного времени - совсем другие. И так много для чего. И, кстати, по поводу конфигурации я где-то высказывался - в идеале надо уходить от зоопарка к чему-то, что можно править руками, но в основном что могло бы быть разобрано машиной, проверено на корректность и отдано пользователю с подобающими хинтами по вариантам ввода, справкой и т.п.

А вот по поводу доверия... Нужно тогда придумывать какую-то более-менее простую модель разрешений, чем сейчас в селинуксах на виртуозах - в том и профессиональный сисадмин не всякий может разобраться слёту, да и, к примеру, к каким каталогам должна программа доступ иметь бывает весьма неочевидно - прилинковало оно какую-то библиотеку - а у той свой конфиг куда-то засунут...

From:

В моем представлении сессия - это что-то эфемерное, длящееся не более нескольких часов.
То что настройки сделанные в процессе сессии должны забываться, если явно не сказано "сохранить", и новая сессия начинаться с неких стандартных - я согласен.

Так что речь идет скорее о произвольно определенных профайлах. Впрочем, их можно свести к per-project, отобразив в файловую систему. Запускаешь IM в каталоге ~/wrk, он взлетает с одними настройками. Запускаешь в каталоге ~/play - с другими.

А что касается "прилинковало какую-то библиотеку, а у той конфиг", то надо такие библиотеки давить. Если тебе нужен конфиг, то делай не библиотеку а процесс со своими настройками, с которыми другие будут через механизм Intents общаться. Правда это тоже во-о-от такая дыра в безопасности.

From:

С моей точки зрения сессия должна явно начинаться и жить пока не будет явно уничтожена, переживая выключение машины в том числе, и максимально сохраняя состояние своих документов - эдакий вариант Фантом ОС, но без революций в организации ОС.

То есть "рабочая сессия" - это одно, "развлечения" - это другое, а если я завтра стал рыться в электронике - ставить софт, выставлять для него хоткеи, вытягивать на экран какие-то документы или (ужас какой) ярлыки, задавать правила - в чем открывать те или иные типы файлов, в какие каталоги их на диск сохранять - то я это делаю в отдельной сессии, и это должно жить столько, сколько мне требуется. Что до реализации - на ФС это можно и каталогами с конфигами оформить, конечно. Даже XDG для этого хватит в подавляющем большинстве случаев.

А вот насчет библиотек с конфигами - ну вон fontconfig как пример. Бывает оно. Или не конфиг, а нужные файлы данных в каких-то позициях лежат. Не, если весь мир насилья разрушать - можно и это регламентировать, и, может, так и надо - но, полагаю, здесь можно менее радикальными мерами обойтись, особенно если не быть слишком уж бескомпромиссными и остановиться на удобном соотношении "морока/безопасность".

From:

Ага, тогда у нас проекты могут, получается, быть вложенными - к примеру, настройки гита для всех рабочих проектов одни (рабочий email, допустим), а для всего остального - другие. Но и каждый проект ещё свои настройки добавляет, разумеется.

А вообще - мы так плавно перейдём к управлению множественными identity, что сейчас свосем поле непаханое.

From: