Как песочница приложений macOS защищает пользователей

Как песочница приложений macOS защищает пользователей
⏱️ 1 min read

Появившаяся в 2007 году и обязательная к 2012 году песочница — это инструмент, используемый macOS для ограничения ущерба, который может нанести взломанное приложение. Apple говорит, «Хотя песочница приложения не предотвращает атаки на ваше приложение, она сводит к минимуму вред, который может нанести успешная атака. Песочница приложений macOS защищает пользователей, ограничивая количество проблем, которые может вызвать приложение.

Что такое песочница приложений macOS?

У каждого приложения есть своя область для игры: «песочница». Если приложение хочет выйти за пределы своей песочницы, оно должно запросить разрешение у операционной системы. В зависимости от настроек песочницы ОС будет либо отклонять, либо одобрять запрос приложения, предоставляя при этом как можно меньше конкретной информации для выполнения запроса.

о песочнице

Подумайте о машине. Водитель защищен несколькими функциями безопасности, такими как антиблокировочная система, подушки безопасности, зоны деформации и многое другое. В 2007 году, когда появилась App Sandboxing, аналогов компьютерных систем не существовало. Как вводная презентация спросил, а где ремни безопасности для компьютеров? Песочница защищает пользователей, как автомобили защищают своих водителей: встречая сбои с помощью систем снижения ущерба. Независимо от того, вызвано ли это вредоносной активностью или ошибками кодирования, ущерб снижается.

Поскольку песочница ограничивает возможности приложений, она может ограничивать свободу разработчиков. Приложения для песочницы работают медленнее и требуют больше времени для разработки. Благодаря огромным возможностям Mac ограничения песочницы могут оказать огромное влияние на совместимость различных приложений. В результате опытные пользователи часто вынуждены выбирать приложения, работающие за пределами песочницы, либо из-за проблем с производительностью, либо из-за проблем с функциями.

Как работает песочница приложений?

Песочница основана на принципе наименьших привилегий. Короче говоря, системы могут делать то, что им нужно, но не более того. Ограничивая каждую часть системы выполнением только заявленной цели, вы снижаете вероятность того, что ваше приложение будет взломано. Например, нет причин, чтобы приложение-фонарик имело доступ к вашему списку контактов.

Приложения могут выходить за пределы своей песочницы, но только с разрешения операционной системы. Возьмите диалоговое окно «Сохранить и открыть» в macOS. Приложение внутри своей песочницы не может напрямую обращаться к ресурсам файловой системы на вашем жестком диске. Например, он не может рисовать открытую панель в «~/Documents». Вместо этого приложение должно запрашивать API Powerbox с NSOpenPanel а также NSSavePanel классы для доступа к панели.

macos-приложение-песочница-powerbox-дизайн

Приложение не может напрямую видеть, что происходит внутри Powerbox. Приложению будет доступен только открытый или сохраненный файл. Таким образом, приложения могут выполнять критически важные функции без лишнего риска.

Эта функциональность включена право (конкретно com.apple.security.files.user-selected.read-write). Разработчики приложений устанавливают права, которые определяют, что делает приложение. Основываясь на объявленных правах, операционная система разрешает приложению ограниченный соответствующим образом уровень функциональности.

Этот мыслительный процесс лежит в основе всей модели и механизма песочницы приложений: приложения должны заявлять о намерениях и запрашивать разрешение у босса на уровне ОС, чтобы совершить что-либо опасное.

Приложения в песочнице и приложения без песочницы

С 1 июня 2012 года все сторонние приложения, распространяемые через Mac App Store, должны помещаться в песочницу. Хотя «песочница» позволяет использовать широкий спектр функций приложений, вы обнаружите, что приложения Mac App Store часто более ограничены, чем их компоненты, не находящиеся в «песочнице». Некоторые разработчики даже поддерживают две версии: полнофункциональное приложение для прямой загрузки и упрощенную версию для Mac App Store. Из-за большей сложности разработки «песочницы» добавление новых функций в приложение затруднено, если эта функциональность даже разрешена операционной системой.

Несмотря на то, что приложения в песочнице могут получить выгоду от распространения Mac App Store, вы можете догадаться, насколько это ценно, по нашему мнению. Песочницу также можно расширить с помощью разрешений безопасности. Хотя приложение не может включить разрешения специальных возможностей для себя, оно может попросить пользователя сделать это.

macos-безопасность-конфиденциальность-разрешения-герой

Чтобы увидеть, какие из ваших приложений находятся в песочнице, откройте Монитор активности и щелкните правой кнопкой мыши заголовки столбцов, чтобы добавить «Песочницу» в окно.

macos-приложение-песочница-активность-монитор-представление

Есть некоторые приложения, которые просто не могут существовать в песочнице. На самом деле песочница предотвращает множество ценных вариантов использования. Песочница предотвращает взаимодействие между приложениями, наблюдение или модификацию, что значительно ограничивает взаимодействие приложений. Общесистемные ярлыки, такие как TextExpander, полностью запрещены, поскольку этот уровень функциональности может быть разрешен песочницей.

Вывод

Хотя песочница приложений macOS была многообещающей, она не была выполнена должным образом. Это ограничивало уникальные преимущества приложений для Mac, такие как скорость и расширенная функциональность. Приложения, работающие вне песочницы, почти всегда более функциональны и быстрее. С точки зрения этого опытного пользователя, мои наиболее часто используемые приложения не изолированы. Такие приложения, как TextExpander, SnagIt и TotalFinder, имеют решающее значение для моей повседневной работы. Чтобы избежать аналогичного повсеместного избегания, будущие системы безопасности должны быть гибкими и мощными, сбалансированными с прозрачностью.

Кредит изображения: Яблоко

Join our Newsletter and receive offers and updates! ✅

0 0 голоса
Article Rating
Аватар Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Читайте также:

Подписаться
Уведомить о
guest
0 Comments
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x