Onde o sandboxing é interrompido?

O aplicativo sandbox só tem acesso ao que o usuário pode acessar. Portanto, se o usuário abrir uma pasta em uma caixa de diálogo Abrir que não tenha permissão para acessar, o aplicativo também não poderá abri-la. Eu testei isso no OS X 10.8.3. Eu dei ao meu usuário permissões Sem acesso para uma pasta na minha área de trabalho, abri a área de trabalho em uma caixa de diálogo Abrir e tentei gravar um arquivo na pasta restrita. A ação falhou com o erro, Você não tem permissão para salvar o arquivo "file" na pasta "restricted".

Minha principal preocupação era que o sandboxing é gerenciado pelo daemon do sandbox, sandboxd , que é de propriedade do usuário root. Portanto, eu temia que sandboxd daria aos aplicativos acesso irrestrito a qualquer coisa aberta em uma caixa de diálogo Abrir (já que o usuário root pode acessar qualquer coisa), mas esse não é o caso.

Um direito de somente leitura de sandbox ou de leitura / gravação é um requisito adicional que deve ser acessado no sistema de arquivos quando executado sob a sandbox. Para qualquer item fora do contêiner de aplicativos, o aplicativo deve receber um direito readonly ou read-write - seja estaticamente por meio dos direitos compilados no aplicativo ou dinamicamente pelo usuário selecionando um arquivo ou pasta - e o usuário deve ter o direito de acesso ao sistema de arquivos apropriado para o item do sistema de arquivos.

Por exemplo, se o usuário conceder ao seu aplicativo acesso de leitura / gravação a outra pasta Pública de usuários usando um diálogo de arquivo padrão, isso não alterará se o usuário só poderá ler o conteúdo de Public e gravar na pasta Drop Box contida. / p>

Sujeito à exigência de um direito de acesso ao sistema de arquivos apropriado, um usuário que concede acesso à caixa de proteção por meio de uma caixa de diálogo de arquivo padrão a uma pasta está concedendo acesso a toda a hierarquia de arquivos dessa pasta.