On 06.10.2009 15:40, Victor Wagner wrote: > В /tmp не только сокет X-сервера, там например еще > сокеты ssh-агентов.
Ну так пробросить только /tmp/.X11-unix/, а не целиком /tmp, и всего делов-то. > Вот если, конечно, chroot заводится только ради того, чтобы > подложить приложению более другие версии библиотек, тогда и так можно. > > Опять же, приложение, которое ходит к X-серверу по TCP уронит этот > X-сервер существенно с меньшей вероятностью. shrug. Недавний баг в XGetImage происходил без всякой общей памяти. Самый свежий, жирный, и багоопасный GLX по сети вполне себе ходит, но при этом код libGL исполняется в контексте Xserver, а не приложения (indirect rendering); так что если какой баг и вылезет в этом плане, он с большей вероятностью уронит сервер, а не приложение. Плюс, очевидно, этот codepath используется реже, а поэтому вероятность нарваться на незамеченный баг больше. > Потому что ему не дадут всяких расширений X-протокола, которые требуют общей > памяти и > прочих local-only средств общения с сервером. А они куда менее отлажены > и более дырявы чем старый добрый core protocol. shrug. И кто же это? За вычетом glx (который, как отмечено выше, более "опасен" как раз в сетевом варианте), в голову приходит только xshm. Чего в нём такого сложного и потенциально дырявого - с лупой не разглядишь. Со всем остальным - всей разницы между host:0 и :0 - только в большем оверхеде на tcp-сокетах. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
