Thursday, June 5, 2014

Unix系OSの権限分離の変遷について(もしくはなぜ、アプリ単位の権限分離が求められるようになったか)

[ブコメした件について。大筋でおかしなことは書いてないと思いますが、出典は確認していません]

Unix系OSにおける権限分離は、伝統的に、利用者ごとに異なるuser idを割り振り、これを用いてアクセス制御を行うという方式で実現されてきた。また、デーモンプロセスについては、不要な権限付与を避け、デーモンプロセス間の相互作用を抑制するために、デーモンごとに専用の「user id」を発番するのが一般的な慣習とされるようになったという経緯がある。

しかし、2000年代に入ると、インターネットの普及とあいまって、クライアントサイドではこのような「利用者ごと」の権限分離では不十分という考え方がされるようになってきた。具体的には、

  • (オンラインバンクのパスワードに代表されるような)攻撃価値が高い情報をOS内に保存・利用するのが一般的になった
  • (限定された流通経路で入手するソフトウェアのみならず)インターネットからダウンロードしたプログラムを実行するという慣習が一般的になった
のようにユーザー行動が変化した結果、高いセキュリティが要求される処理と、セキュリティよりも利便性を重視したい処理が、同一のアクセス権限のもとに併存するようになったのである。だが、そのような状況は危険である(ネットからダウンロードしたマルウェアによって重要な情報が流出する可能性がある)。よって、同一ユーザー権限のもとで動作するプログラム間においても、アクセス権限の分離の必要性が認められるようになってきたのだ。

このため、iOSやAndroidのようなスマホOSにおいては、利用者ごとではなくプログラムごとに異なる「user id」を割り振り、互いのデータにアクセスできないような仕組みになっている。

一方でOS Xのような、より以前からあるUnix系OSにおいては、このような仕組みに移行することは現実的でないため、Keychainのように、秘匿性の高い情報についてのみプログラム単位でのアクセス制御機能を提供することで、問題の緩和が計られている。

以上のような経緯があるので、クライアント上で一般ユーザー権限で動作するプログラムにおいて、(psコマンド等を通じて情報が流出する問題がある)環境変数に認証情報を格納するのは避けるべきと言えるだろう。

5 comments:

  1. These watches are the majority of replica breitling watches high-end pieces with a Brand 1. A lot of would be annoyed with one, because a lot of do not apperceive what they are talking about. For example, humans just anticipate a Rolex watch is expensive, so a Rolex replica should be expensive. Within the association that surrounds replica watches there tends to be a lot of bearded information. Lots of the bigger sites wish you absorb bags and bags of well-earned bucks on replica watches that are absolutely not any bigger than others. They do with an abundantly able allegory that they accept broadcast which has no base they say their pieces are. This agency according to them that they are 99% authentic the uk replica watches accomplished absolute quality. But it is not true. By the third, fourth generation, the watch has developed to as abreast accomplishment as possible. To some, it looks like the replica houses are agilely aggravating to accomplish added authentic watches, but no they are just by itself evolving, about helplessly evolving. Amount and marketability are the inherent, absolute affective factors of the fake watches change adaptation of the fittest, so to speak.Sure, on some levels, this arrangement in fact works altogether fine. It is accurate that cheaper replicas accept poor accurateness and poor abstracts that address to tourists and not watch enthusiasts. But abreast from this acutely bad set of replica watch, things are not so atramentous and white.

    ReplyDelete