V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
phoenixlzx
V2EX  ›  macOS

OS X App 沙盒信息一致是不是代表权限没有风险?

  •  
  •   phoenixlzx · 2015-09-05 15:51:39 +08:00 · 2201 次点击
    这是一个创建于 3373 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT

    MAS 上安装的 QQ 和官网上下载的 QQ App 拖进 SandboxInfo 看了下权限是一致的,而迅雷这样的程序则没有沙盒。

    除了沙盒以外,官网下载的 QQ App 还会有其他风险么?

    因为看到很多人表示不装官网的版本,一定要安装 MAS 的版本所以发问。

    6 条回复    2015-09-06 11:42:48 +08:00
    honeycomb
        1
    honeycomb  
       2015-09-05 16:42:37 +08:00
    猜测是这样:

    1 ,在 MAS 装的软件不能不用 sandbox
    2 ,风险不可控,这年头就算是有数字签名的大公司的软件也是会(通过使用高级别的权限)做坏事的:
    常见的是 Windows 下那种全家桶的做法
    3 ,在 MAS 获得的软件遇到这种风险会小很多:
    一个是 sandbox ,另一个是真出点事情(以前也有发现过 OSX 的穿沙漏洞)MAS 还可以下架


    Windows 也有类似的 AppContainer ,但是
    1 ,不能指望那些桌面软件会自觉用上 AppContainer
    2 , Windows store 只发行 UWP 应用
    honeycomb
        2
    honeycomb  
       2015-09-05 16:46:15 +08:00
    @phoenixlzx

    我估计 LZ 提到的两个 QQ 是一致的,使用了相同级别的沙盒限制

    但是可能保证不了两件事:

    1 ,未来的从官网下载的 QQ 是不是继续使用沙盒?
    2 ,访问到的官网真的是官网吗(腾讯的页面目前没有 Google 那样全盘 HTTPS 化),而这几年运营商都在积极(现在已经是常态)地干扰链路,做劫持等等

    或许是它们觉得既然墙可以那么做,它们也可以在国内流量这么做
    phoenixlzx
        3
    phoenixlzx  
    OP
       2015-09-05 17:21:48 +08:00
    @honeycomb 说明下

    1. 官网下载的 QQ 版本也是有选项「仅在 AppStore 有新版时通知我」而且是默认勾选的
    2. 我用的是自建的反污染 DNS ,浏览器上网一律走自建的加密,走的是商用线路而且访问国内站不过墙

    所以在确认官方下载的 QQ App 也是使用了沙盒的情况下,还有什么其他的风险。
    不用提 Windows 的事情, Windows 还隐藏了部分信任证书呢。
    honeycomb
        4
    honeycomb  
       2015-09-05 17:37:58 +08:00
    @phoenixlzx

    可以当作没风险



    毕竟如果对腾讯的信任太低的话

    连“「仅在 AppStore 有新版时通知我」”这样的陈述也没什么意义了

    因为,如果这个陈述不可信的话,那么“所以在确认官方下载的 QQ App 也是使用了沙盒的情况下”,它可以违背陈诺,去下载一个不用沙盒的版本,或者再厉害点,用社工 /漏洞往系统里装两个病毒;再甚鹅场直接用储存在它那里的数据干坏事不就行了


    我们希望用 sandbox 的原因,还不是因为国产软件的信誉不好导致的么:
    流氓软件,全家桶
    鹅厂(和 360 打架那会)和支付宝(降低用户方面的控制性)的服从性训练



    何况就算是官网下载的 QQ ,要做点(像 Windows 那样装个劫持驱动等)坏事得先提权,不是么

    就算做了坏事,看样子 LZ 肯定也有足够多的后备应对
    moooookey
        5
    moooookey  
       2015-09-06 11:13:42 +08:00
    你所有的聊天记录都放在人家那里了,这点信任都没有,还用啥了
    phoenixlzx
        6
    phoenixlzx  
    OP
       2015-09-06 11:42:48 +08:00
    @moooookey 聊什么是我可以控制的,但是我不希望它动我的 ssh keys 等等东西。

    但是现在想知道的是 MAS 和官网下载的程序既然都用了沙箱那么还有什么其他不一样会导致那么多人不信任。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1199 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:34 · PVG 02:34 · LAX 10:34 · JFK 13:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.