VM
Yanis Benson
А права запускать другие процессы тоже отрубил?
Смотря кому же. Я ж говорю, в макоси даже руту ощутимо права порезали, с несистемными вещами ещё можно играться, а в процессы от имени ядра уже совсем никак.
Size: a a a
2020 August 20
YB
Хотя там, вроде, никогда не было способов запустить браузер незаметно для пользователя.
YB
Смотря кому же. Я ж говорю, в макоси даже руту ощутимо права порезали, с несистемными вещами ещё можно играться, а в процессы от имени ядра уже совсем никак.
Себе, твоему пользователю.
YB
Yanis Benson
А вот кстати под линухом кат на /proc/мой процесс/me не взлетел, хотя формально есть рв права
SE deny_ptrace, есличо
VM
VM
Как пример ограничений доступа к фс для процессов в рамках одного юзера
YB
Учитывая, что там нет в списке папки /bin или чего подобного, я думаю, оно не касается возможности запуска других процессов.
YB
Ну вон Стим например же постоянно другие процессы запускает
YB
Можешь ему это запретить?
VM
Yanis Benson
Учитывая, что там нет в списке папки /bin или чего подобного, я думаю, оно не касается возможности запуска других процессов.
О чем сейчас дискурс? Может ли один процесс вломиться в память другого как описывали выше? Или могу ли я из консоли запустить прлцесс? Это разные ж вещи
YB
О чем сейчас дискурс? Может ли один процесс вломиться в память другого как описывали выше? Или могу ли я из консоли запустить прлцесс? Это разные ж вещи
Нет, о том, что процесс может запустить браузер с произвольной ссылкой и в сеть полезет не этот процесс, а браузер.
VM
Yanis Benson
Нет, о том, что процесс может запустить браузер с произвольной ссылкой и в сеть полезет не этот процесс, а браузер.
С какими правами запускаем процесс? От моего юзера?
YB
С какими правами запускаем процесс? От моего юзера?
Ну да
YB
Ну с любыми так то, главное чтобы в сеть мог стучать
SB
Yanis Benson
Хотя там, вроде, никогда не было способов запустить браузер незаметно для пользователя.
Даже не обязательно незаметно. Постфактум пользователь может увидеть в браузере "congratulations, all your data belong to us you just installed new version of appname"
VM
Итого, вот свежий юзер без админских прав, там есть хром, но без явного разрешения zsh не может его запустить
YB
А сам то юзер может?
VM
Может
