Mac関連ネタをそれはもう凄まじい勢いで翻訳するスレ7
619 :終章を訳した人:
アプリケーションのサンドボックス化
もっとも、黙して語らないとはいえ、AppleがMacのセキュリティ向上のために
何もしてこなかったわけではない。Leopardで、Appleはカーネルに基本的なサ
ンドボックス機能を追加した。SnowLeopardでは、MacOSXの動作を支えるデー
モンプロセスの多くがサンドボックスの中で走るようになった。例によって、特
に吹聴されはしなかったが。
アプリケーションをサンドボックス内で走らせるのは、もしそのアプリケーショ
ンがマルウェアに感染したとしても被害を最小限にとどめることが目的である。
サンドボックス化されたアプリケーションは、やれることの範囲が通常のプロセ
スよりも大幅に制限される。例えば通常のアプリケーションであれば、それを起
動したユーザーが所有権を持つあらゆるファイルを消去することができる。もち
ろん普通のアプリケーションはそんなことはしないが、それでもひとたびマル
ウェアに乗っ取られた場合、何か破壊的な動作に及ぶ恐れがある。
Lionでは、サンドボックスのセキュリティモデルが大幅に拡張され、Appleは
ついにサードパーティのアプリケーションにも採用を推奨するようになった。サ
ンドボックス化されたアプリケーションは、一連の「資格(entitlements)」
を備えていなければならない。資格とは、そのソフトウェアが仕事をするために
どんなリソースが必要なのかをいちいち指定するものだ。Lionは、ネットワー
ク接続を要求したり、あるいは外部からの接続要求を受け入れたりといった基本
的なタスクをはじめ(ちなみにこの二つは別々の資格)、ビルトインカメラから
動画や静止画を取り込むなどといった高度な作業に至るまで、約30の資格をサ
ポートしている。
もっとも、黙して語らないとはいえ、AppleがMacのセキュリティ向上のために
何もしてこなかったわけではない。Leopardで、Appleはカーネルに基本的なサ
ンドボックス機能を追加した。SnowLeopardでは、MacOSXの動作を支えるデー
モンプロセスの多くがサンドボックスの中で走るようになった。例によって、特
に吹聴されはしなかったが。
アプリケーションをサンドボックス内で走らせるのは、もしそのアプリケーショ
ンがマルウェアに感染したとしても被害を最小限にとどめることが目的である。
サンドボックス化されたアプリケーションは、やれることの範囲が通常のプロセ
スよりも大幅に制限される。例えば通常のアプリケーションであれば、それを起
動したユーザーが所有権を持つあらゆるファイルを消去することができる。もち
ろん普通のアプリケーションはそんなことはしないが、それでもひとたびマル
ウェアに乗っ取られた場合、何か破壊的な動作に及ぶ恐れがある。
Lionでは、サンドボックスのセキュリティモデルが大幅に拡張され、Appleは
ついにサードパーティのアプリケーションにも採用を推奨するようになった。サ
ンドボックス化されたアプリケーションは、一連の「資格(entitlements)」
を備えていなければならない。資格とは、そのソフトウェアが仕事をするために
どんなリソースが必要なのかをいちいち指定するものだ。Lionは、ネットワー
ク接続を要求したり、あるいは外部からの接続要求を受け入れたりといった基本
的なタスクをはじめ(ちなみにこの二つは別々の資格)、ビルトインカメラから
動画や静止画を取り込むなどといった高度な作業に至るまで、約30の資格をサ
ポートしている。
|
|
|