<div dir="ltr"><div class="gmail_default" style="font-family:garamond,serif"><br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-08-30 23:37 GMT+02:00 Ben Laurie <span dir="ltr"><<a href="mailto:ben@links.org" target="_blank">ben@links.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 30 August 2016 at 22:24, Perry E. Metzger <<a href="mailto:perry@piermont.com">perry@piermont.com</a>> wrote:<br>
> I hope these ideas get spread around. They're a critical tool for<br>
> security architecture. (And I hope to someday see Capsicum as part of<br>
> the mainline Linux kernel.)<br>
<br>
</span>For the impatient: <a href="http://capsicum-linux.org/" rel="noreferrer" target="_blank">http://capsicum-linux.org/</a>.<br></blockquote><div><br></div><div><br></div><div><div class="gmail_default" style="font-family:garamond,serif">​The openat stuff looks interesting. It may be of interest to note that was this discussion 10 years back:</div><div class="gmail_default" style="font-family:garamond,serif"><br></div><div class="gmail_default"><font face="garamond, serif"><a href="http://osdir.com/ml/linux.kernel.lsm/2006-10/threads.html">http://osdir.com/ml/linux.kernel.lsm/2006-10/threads.html</a></font><br></div><div class="gmail_default"><font face="garamond, serif"><br></font></div><div class="gmail_default"><font face="garamond, serif">that indirectly led to at that time was basically a workaround for openat not allowing directory </font></div><div class="gmail_default"><font face="garamond, serif">f</font><span style="font-family:garamond,serif">ile handles to be used as capabilties passible of unix domain sockets:</span></div><div class="gmail_default"><span style="font-family:garamond,serif"><br></span></div><div class="gmail_default"><font face="garamond, serif"><a href="http://www.linuxjournal.com/magazine/minorfs?page=0,0">http://www.linuxjournal.com/magazine/minorfs?page=0,0</a></font><br></div><div class="gmail_default"><font face="garamond, serif"><br></font></div><div class="gmail_default"><font face="garamond, serif">By the way, one thing that has been a growing concern with respect to the use dir/file handles</font></div><div class="gmail_default"><font face="garamond, serif">in multi process setups is the fact that there doesn't seem to be a single memory secure, let alone </font></div><div class="gmail_default"><font face="garamond, serif">capability secure programming language that supports good old file handle passing over </font></div><div class="gmail_default"><font face="garamond, serif">unix domain sockets. Has the capsicum project given any thought about providing a capability </font></div><div class="gmail_default"><font face="garamond, serif">based stack (like the AppArmor/MinorFS/E-language stack described in my above article) ?</font></div><div class="gmail_default"><font face="garamond, serif"><br></font></div><div class="gmail_default"><font face="garamond, serif"><br></font></div><div class="gmail_default" style="font-family:garamond,serif"><br></div><div class="gmail_default" style="font-family:garamond,serif">​</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="gmail-HOEnZb"><div class="gmail-h5">______________________________<wbr>_________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" rel="noreferrer" target="_blank">http://www.metzdowd.com/<wbr>mailman/listinfo/cryptography</a></div></div></blockquote></div><br></div></div>