>>2. что-то мне подсказывает, что штатный способ обращения к kdewallet другой, а,
>>значит, будет пресечено SELinux
>
>То есть SELinux запретит пользователю создавать резервную копию базы своих паролей? Пользователю, нет, а вот программе, запущенной в другом домене, конечно!
Почитайте, как работает, сам по себе, мандатный контроль.
>>>PoC 2:
>>
>>Вырубится SELinux еще на попытке записать в /tmp
>
>Вы что, серьёзно предлагаете запретить программам писать в /tmp?!
Это нужно далеко не всем программам, а в записи отслальных есть закономерности, к которым можно прицепиться.
>К тому же,
>что помешает писать в этом случае, скажем, в хомяк?
SELinux. Программа будет выполняться в другом домене. Зачем ей это для повседневной работы?
>[оверквотинг удален]
>>>пользователя. А контейнеры сами по себе тоже не панацея сколько
>>>уязвимостей, дающих порой возможности более богатые, чем root (!), уже понаходили
>>>в системах виртуализации?..
>>
>>опять же, MAC решает :)
>
>И как именно он решает проблемы, о которых сам админ явно не
>в курсе? Это не говоря о том, что предусмотреть ВСЁ
>в MAC практически нереально, только на простых конфигурациях - но там
>он уже просто излишний.
Правила для MAC будут постоянно писаться и развиваться для распространенных _десктопных_ приложений.
>>>Если развитие MacOS X будет идти теми же темпами, ситуация с ней
>>>скоро (в течение пары лет) исправится. ;)
>>
>>Зачем? Если так удобно клепать ботнеты на Windows?
>
>О том и речь, что их станет удобно клепать для MacOS X/Linux/нужное
>вписать?
Пройдет одна эпидемия на бубунтах, и за воплями фанатиков Windows платформы, никто и не заметит, что все популярные дистрибутивы включат MAC по-дефольту, сгладят острые углы, прикрутят GUI для удобного создания политик, что решит проблему сразу и на корню (что в Windows и дискреционном, а не ролевом UAC невозможно)