OpenBSD pledge(d) Chromium

mogbo

Banned
Hallo,
ich bin auf folgenden Post gestoßen:
http://undeadly.org/cgi?action=article&sid=20160107075227
(Chromium: The renderer, gpu, plugin and utility processes are now using pledge)

Nun zu der vermutlich dämlichen Frage:
Kann ich davon ausgehen, dass der auf Chromium basierende Iridium Browser auch diese pledge Features nutzt?

Gibt es evtl. irgendwo eine Liste oder Tabelle in der alle Tools/Programme stehen, die pledge als Feature nutzen?

Anbei die Manpage von pledge, falls sich wer fragt, um was es da geht:
http://man.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man2/pledge.2
 

double-p

BOFH
Also "base" sollte inzwischen recht vollstaendige pledge benutzen, in den ports einfach mal rekursiv nach 'pledge(' greppen? Ich hatte noch nichts gehoert, dass sowas upstream aufgenommen wurde (aber das muss nichts heissen, dass es nicht doch passiert (ist)).
 

Yamagi

Possessed With Psi Powers
Teammitglied
Chromium ist schwer bis unmöglich dazu zu bewegen größere Änderungen Upstream aufzunehmen, die nicht auf dem heiligen Linux funktionieren. Die Capsicum-Patches sind zum Beispiel auch nie offiziell eingegangen, vergammelten und wurden irgendwann fallen gelassen.
 

mogbo

Banned
Chromium ist schwer bis unmöglich dazu zu bewegen größere Änderungen Upstream aufzunehmen
Ich habe noch von Theo ein Interview im Kopf indem er meinte, die Implementierung von capsicum wäre selbst in Minitools wie grep extrem aufwändig, haben dann Browser überhaupt eine realistische Chance?
 

Yamagi

Possessed With Psi Powers
Teammitglied
grep als Beispiel für Capsicum zu nehmen ist nicht fair. Denn es war eines der allerersten Tools, die man auf Capsicum umgestellt hat. Damals hatte man noch keine Erfahrungen mit Capsicum speziell und Sandboxes allgemein, es waren lediglich einige rohe Syscalls. Seitdem hat man viel gelernt und verbessert, dank libcasper und Capsicum Helpers sind es heute für die meisten Anwendungen nur noch ein paar Zeilen.

Zum Beispiel jot als triviale Anwendung: https://svnweb.freebsd.org/base/head/usr.bin/jot/jot.c?r1=307660&r2=307659&pathrev=307660
Oder Bhyve als anspruchsvolleres Beispiel: https://svnweb.freebsd.org/base?view=revision&revision=313727
 

mogbo

Banned
grep als Beispiel für Capsicum zu nehmen ist nicht fair. Denn es war eines der allerersten Tools, die man auf Capsicum umgestellt hat.
Ja, okay zu Theo's Verteidigung, zum Zeitpunkt des Interviews gabs erst 12 Tools die "gesandboxed" wurden mit Capsicum, zumindest sagte er das.

Das Beispiel von jot wirkt wirklich ziemlich simpel und übersichtlich, habe dank Theo's Interview wirklich gedacht, dass Capsicum keine Zukunft hätte...
 
Oben