>
>>>2. что-то мне подсказывает, что штатный способ обращения к kdewallet другой, а,
>>>значит, будет пресечено SELinux
>>
>>То есть SELinux запретит пользователю создавать резервную копию базы своих паролей?
>
>Пользователю, нет, а вот программе, запущенной в другом домене, конечно!
>Почитайте, как работает, сам по себе, мандатный контроль. Как устроен мандатный контроль знаю не понаслышке.
Значит, как минимум вытащат то, что можно из-под данного домена. В браузере и почтовом клиенте - пароли к сервисам, например.
>>Вы что, серьёзно предлагаете запретить программам писать в /tmp?!
>
>Это нужно далеко не всем программам, а в записи отслальных есть закономерности,
>к которым можно прицепиться.
А что мешает к этим же закономерностям прицепиться внедрившемуся в браузерный плагин - или какую угодно программу - коду?
>>К тому же,
>>что помешает писать в этом случае, скажем, в хомяк?
>
>SELinux. Программа будет выполняться в другом домене. Зачем ей это для повседневной
>работы?
Что, временные, конфигурационные, пользовательские файлы сохранять зачем? :)
>>>опять же, MAC решает :)
>>
>>И как именно он решает проблемы, о которых сам админ явно не
>>в курсе? Это не говоря о том, что предусмотреть ВСЁ
>>в MAC практически нереально, только на простых конфигурациях - но там
>>он уже просто излишний.
>
>Правила для MAC будут постоянно писаться и развиваться для распространенных _десктопных_ приложений.
И постоянно опаздывать, ошибаться и не справляться. Как вы, например, средствами MAC запретите браузеру перезаписывать файлы, подконтрольные юзеру, без ущерба для его, пользователя, работы?
>Пройдет одна эпидемия на бубунтах, и за воплями фанатиков Windows платформы, никто
>и не заметит, что все популярные дистрибутивы включат MAC по-дефольту, сгладят
>острые углы, прикрутят GUI для удобного создания политик, что решит проблему
>сразу и на корню (что в Windows и дискреционном, а не
>ролевом UAC невозможно)
Вы просто невозможная оптимистка :)