<div dir="ltr"><div><div>Yes, the user has to trust that a screenshot app won't start uploading his porn to the web, just like she also has to trust that it won't give him a virus.<br><br></div><div>The new sandboxing technology is a way of making sure the user knows what the app has access to, and to prevent access to things the user didn't give it permission to access.<br>
</div><div><br></div>If she installs a screenshot app that requests permissions to take screenshots and she gives the app those permissions, then she trusts the app to not abuse those permissions. She also can also trust the OS to prevent the app from accessing her contacts and telling all her coworkers about great deals on bread, since she didn't give the app the permission to access her contacts.<br>
<br></div><div>But anyway, this is orthogonal to Wayland. In terms of desktop Linux, we have one question: can this "application" (likely identified/keyed by a .desktop) access this privileged operation (taking a screenshot). I just noticed that this sounded an awful lot like PolicyKit. I think the compositor can apply this discretion if it knows the app ID that's trying to access the request. That's an issue for me: how do we tie the application executable/.desktop file together in an unspoofable manner?<br>
</div><br><div>Prompting the user "are you *sure* you really meant to take a screenshot? Yes/No" when he presses Print Screen is just a way to piss her off.<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Jan 8, 2014 at 1:28 PM, Martin Peres <span dir="ltr"><<a href="mailto:martin.peres@free.fr" target="_blank">martin.peres@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Le 08/01/2014 15:04, Sebastian Wick a écrit :<div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Am 2014-01-08 13:02, schrieb Martin Peres:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 07/01/2014 20:26, Jasper St. Pierre wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
    Would it be ok for you if the compositor asked the user to agree<br>
    for the program to<br>
    do the operation? If so, we can guarantee that this is really the<br>
    user's intent and<br>
    allow the application. We can also add a security warning with a<br>
    "Do not ask again"<br>
    checkbox. Would it be satisfactory to you?<br>
<br>
<br>
The user opened up a screen recording app. The user's intent is very much to record the screen. We don't need to ask the user again with a prompt.<br>
</blockquote>
<br>
How do you make sure it WAS launched by the user and not run silently<br>
by one application?<br>
That's the whole problem.<br>
</blockquote>
<br>
If the application starts recording the screen without user interaction<br>
I would consider it broken.<br>
</blockquote></div>
Indeed, it would. Be security is never based on what an application SHOULD do, it is based on what it CAN do.<br>
<br>
So you want to trust every screenshot application? I don't think it is a good idea. It is a better one<br>
than trusting every app, but it still not is very efficient.<div class="HOEnZb"><div class="h5"><br>
<br>
<br>
______________________________<u></u>_________________<br>
wayland-devel mailing list<br>
<a href="mailto:wayland-devel@lists.freedesktop.org" target="_blank">wayland-devel@lists.<u></u>freedesktop.org</a><br>
<a href="http://lists.freedesktop.org/mailman/listinfo/wayland-devel" target="_blank">http://lists.freedesktop.org/<u></u>mailman/listinfo/wayland-devel</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>  Jasper<br>
</div>