Телеграмм чат группы openbsd

Я не писал что где то "более жёсткое разграничение" и я вообще не понимаю, что это значит

23:33пожаловаться #1

Например, в capsicum можно запретить для конкретного файлового дескриптора всё, кроме read и write, pledge и unveil так не умеют (по задумке).
я об этом, может не так выразился

23:33пожаловаться #2

да я косноязычный видимо, пздц

23:36пожаловаться #3

Из этого не следует, что capsicum "жёстче", что бы это не значило. Гибче - да, намного.
Но, например, в простых ситуациях он этим и проигрывает pledge, потому что часто эта гибкость не нужна, нужно просто запретить что-то и всё.
Можно привести и обратные примеры, безусловно.

И pledge и capsicum это инструменты, "суровость" изоляции того или иного приложения зависит от того, что и как там написано.

23:36пожаловаться #4

хорошо, я поменял

23:38пожаловаться #5

Да зачем? Как написал так и написал

23:39пожаловаться #6

Ну кто-то ещё увидит и решит меня поправить

23:41пожаловаться #7

Моё изложение моего понимания вопроса, очевидно, тоже не идеально, ну да и что?) Скажу страшное: я иногда ошибаюсь или пишу херню. Обоже мой.
Ты где-то выше писал, что помнишь каждую свою ошибку, что ты запостил в интернете. У тебя видимо пиздец их мало) моей памяти на список моих неточностей и ошибок мне никогда не хватило бы, но я даже и не пытаюсь

23:41пожаловаться #8

Скажи ему "пошёл нахуй".

23:42пожаловаться #9

Не то что пиздец мало, а просто они периодически вычищаются, иногда могу свой коммент под видео двух годичной давности на ютубе снести

23:43пожаловаться #10

так и скажу

23:43пожаловаться #11

Alex in OpenBSD

Можете привести конкретный пример практической задачи, для решения которой недостаточно pledge/unveil, и нужно применять Capsicum ?

23:44пожаловаться #12

Дело твоё, но я бы фиксировался на том, что останется в голове, а не в истории в интернете. Главное сделать выводы из ошибок.

23:45пожаловаться #13

Хорошо, пусть будет так

23:46пожаловаться #14

Ну например когда надо сделать то что делает pledge, без pledge на FreeBSD. А вообще здесь с примерами конкретных программ https://www.cl.cam.ac.uk/research/security/capsicum/freebsd.html

23:47пожаловаться #15

Сходу нет. Но теоретически - если хочется как-то сложно распилить доступ между сущностями.
Лучше спросить кого-то, кто лучше меня знает про capsicum, а лучше, чтобы ещё на практике использовал.

23:47пожаловаться #16

Alex in OpenBSD

Спасибо.
По ссылке то, что надо.

23:49пожаловаться #17

В моём понимании, это +/- одно и то же, только в случае capsicum надо написать чуть больше кода, случаи когда он правда лучше, как по мне, является вырождеными

23:50пожаловаться #18

Alex in OpenBSD

+ 10

Спросил потому, что под FreeBSD пишется не так уж много софта.

Для той же Oracle Database максимальная официально поддерживаемая версия - 8.

Мне сложно представить, кому за пределами проекта FreeBSD может понадобиться реализовывать в своем софте поддержку Capsicum.

Большинство промышленных/бизнес систем сейчас работает на ГНУ/оффтопике.

23:56пожаловаться #19

С pledge/unveil та же фигня. Ну и также как опенбсдшники, фряшники в firefox и прочий софт из портов capsicum впиливают