Sandbox privilegi di amministratore

3

Ho appena scaricato l'app iAntivirus dal Mac App Store. Volevo che sottoponessi a scansione tutto il mio disco rigido alla ricerca di virus, quindi mi ha presentato una finestra di dialogo Apri che punta alla radice del disco rigido (in modo che il computer possa accedere al di fuori della sua sandbox). Ho fatto clic su OK e l'app è stata avviata.

Quello che ho trovato strano è che non mi è mai stato presentato un box di login. Il programma ha avuto accesso ai file nella cartella System, nella cartella Library, ecc. Che solo io potevo modificare digitando un nome utente e una password di amministratore. Si tratta di un problema di sicurezza con sandboxing o è il modo in cui dovrebbe funzionare?

    
posta Jack Humphries 02.09.2012 - 00:05
fonte

2 risposte

2

L'app può avere accesso in lettura / scrittura a una posizione se ottiene l'autorizzazione utilizzando un'autorizzazione come parte dell'App Sandbox, in altre parole questo è il modo in cui funziona. L'App è firmata dal codice e affidabile, sta chiedendo il permesso, in teoria tutto dovrebbe essere buono.

Come indicato in Panoramica sulla tecnologia Mac :

App Sandbox

Introduced in OS X v10.7, App Sandbox provides a last line of defense against stolen, corrupted, or deleted user data if malicious code exploits your app. App Sandbox also minimizes the damage from coding errors. Its strategy is twofold:

App Sandbox enables you to describe how your app interacts with the system. The system then grants your app only the access it needs to get its job done, and no more.

App Sandbox allows the user to transparently grant your app additional access by using Open and Save dialogs, drag and drop, and other familiar user interactions.

Specificamente uno sviluppatore può implementare il seguente diritto, come indicato qui in Abilitando Sandbox app , questo è esattamente ciò che hai descritto nella tua domanda, quindi questa è probabilmente la titolarità che lo sviluppatore del programma A / V ha utilizzato per ottenere solo l'accesso in lettura e scrittura.

com.apple.security.files.user-selected.read-write

Read/write access to files the user has selected using an Open or Save dialog

Si noti che questo non è lo stesso di vero utente amministratore, dal momento che al programma non sarebbe stato concesso il privilegio di esecuzione.

    
risposta data 02.09.2012 - 01:46
fonte
2

Non lo vedi correttamente. Sandboxing non ignora i permessi dei file. Se non si dispone dell'accesso in scrittura a un file, l'autorizzazione al file-scrittura non consente l'accesso in scrittura al file. Allo stesso modo, le finestre di dialogo NSOpen / NSSave non possono accedere a qualsiasi cosa a cui non possono accedere con il sandboxing.

    
risposta data 04.07.2014 - 17:58
fonte

Leggi altre domande sui tag