Supponiamo che tu abbia un'applicazione GUI, che potenzialmente potrebbe essere troppo curioso riguardo al tuo ambiente, come l'elenco dei titoli delle finestre.
Come posso limitare la capacità dell'applicazione di enumerare finestre, acquisire input non collegati, accedere agli Appunti quando non viene richiesto, preservando la maggior parte delle normali attività?
Come posso dare un accesso parziale, non completo a X?
Come patch immediata, dovresti eseguire tale applicazione in un server X separato su un VT diverso. Questo è l'unico modo per garantire che l'app non utilizzi l'API X per spiare altri client. Puoi anche provare a XSELinux ma conosco pochissime persone al mondo che sanno come eseguirlo, e di solito limita severamente ciò che l'app di destinazione può fare (per non parlare del costo dell'etichettatura dei dati del desktop in modo corretto).
Inoltre, devi ancora prevenire l'inceppamento o l'introspezione del codice di processo e impedire all'app di interferire con l'ambiente di runtime degli utenti eseguendo il sandboxing (è necessario almeno il mount e gli spazi dei nomi IPC). Vedi Docker e MBox . Nota che non discuto gli exploit contro i server kernel / namespaces / X, solo le funzionalità Desktop disponibili.
A lungo termine, saranno disponibili protocolli di visualizzazione come Wayland che garantiscono l'isolamento tra i clienti fin dall'inizio. Fino ad allora dovremo fare i conti con l'insicurezza del desktop Linux.