On Wed, 2011-01-12 at 21:38 +0100, Marco d'Itri wrote: > Sembra un lavoro per selinux...
Su sistemi Linux in effetti SE-Linux potrebbe essere la soluzione. Tieni presente che confinare permanentemente (ovvero con policies se-linux in kernel) un'applicazione grafica (GTK/QT), in particolare Firefox, e' un bel po' faticoso, perche' devi scoprire tutte le API che sta utilizzando e quali files sono coinvolti. Dalla mia esperienza in SE-Linux, il problema non e' soltanto "fare andare" l'applicazione, ma scoprire tutti i possibili use-cases dell'applicazione, perche' poi (con la solita fortuna che mi ritrovo) l'utente va ad usare una funzionalita' a cui non ho pensato e nella migliore dell'ipotesi l'applicazione non esegue la funzionalita', oppure nella peggiore va in crash. So che Fedora 14 ha implementato il programma "sandbox" su cui stava lavorando Dan Walsh che permette proprio di fare questo, purtroppo non ho esperienza diretta perche' ho lasciato il CappelloRosso prima della sua uscita :) FYI, googleando qui e la' per "Sandbox Fedora 14" e' venuto fuori questo: http://www.partlycloudy.org/2010/11/14/selinux-sandboxed-firefox.html Ciao ciao, Gippa
signature.asc
Description: This is a digitally signed message part
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
