<p dir="ltr">How would a game change the mode in the first place? There is no request to do so.</p>
<p dir="ltr">Anyway, I'm still going to push for a complete solution that isn't tied to Wayland and also works for DBus, but I can't convince you this is a bad idea. So, best of luck to you, and I'll shut up now :)</p>
<div class="gmail_quote">On Mar 11, 2015 10:51 AM, "Manuel Bachmann" <<a href="mailto:manuel.bachmann@open.eurogiciel.org">manuel.bachmann@open.eurogiciel.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi Jasper,<br><br>"Why are fullscreen and resolution change privileged operations?"<br><br></div><div>Personally, I think fullscreen should be allowed by default, but could be disallowed on a per-application-basis ; because a few ones could abuse it by re-triggering repeatedly (it made a great testcase for the demo, however).<br><br></div><div>Regarding resolution change, I'm not even sure it's in WSM ;-), but that's direct access to the hardware modes ; what about an app changing modes every 5 seconds while minimized so you cannot easily kill it ? You can imagine the compositor's default UI would be authorized, but a third-party app (like a video game) would at least need to ask the first time.<br></div><div><br>"I will not implement support for WSMs in mutter. I have given my opinion
 on why I think technical solutions to security problems and security 
policies are bogus before. I won't bother to repeat it here."<br></div><br></div>We discussed that on IRC, I can understand your position.<br><br></div>Regards,<br></div>Manuel<br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-03-09 21:41 GMT+01:00 Jasper St. Pierre <span dir="ltr"><<a href="mailto:jstpierre@mecheye.net" target="_blank">jstpierre@mecheye.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span>On Mon, Mar 9, 2015 at 12:52 PM, Manuel Bachmann <span dir="ltr"><<a href="mailto:manuel.bachmann@open.eurogiciel.org" target="_blank">manuel.bachmann@open.eurogiciel.org</a>></span> wrote:<br></span><div class="gmail_extra"><div class="gmail_quote"><span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi Matthias,<span><br><br>"I don't think it makes sense to develop a specific solution just for<br>
the portion of application sandboxing that happens to overlap with<br>
wayland protocol requests. The same questions need to be answered when<br>
a third-party application e.g. wants to open a file or send an email."<br><br></span></div>While it is true that the general security policy concern is a huge topic, and that WSM may seem to be a too-specific solution in an ecosystem where several Linux Security Modules have already been implemented, I think, however, that there is a valid use case for it.<br><br></div>We happen to have a more-than-20-years-old ecosystem of GUI applications which were using the X11 protocol. For all these years, they were allowed to exploit this protocol in various ways, which gave us the cool features we could not imagine living without today.<br></div><div><br></div><div>Then comes Wayland. It is more secure, but the cool features aren't there. Sure, each compositor can do the way it wants, but application developers are embarrassed . This potentially cripples the user experience and slows down Wayland adoption.<br><br></div><div>WSM is interesting because it only tries to cover GUI applications, which, basically, all have the same needs :<br></div>- screenshooting, screen recording, color picking....<br></div><div>- critical actions on the outputs : fullscreen, resolution change...<br></div></div></blockquote><div><br></div></span><div>Why are fullscreen and resolution change privileged operations?<br></div><span><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div><div>- access to a central clipboard ;<br></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div><div>- replacing a vital part of the compositor  (virtual keyboard, panel, systray...)<br></div><div>- ....<br><br></div><div>A Linux Security Module goes too far, has too many implications, hence why it is rarely deployed excepted on server systems. But WSM is only about GUI apps ; it precisely knows what it wants to be and which problems it tries to address. I think, personally, that WSM has a chance of success because it is pragmatic and has the privilegied timeframe for this.<br></div></div></blockquote><div><br></div></span><div>I will not implement support for WSMs in mutter. I have given my opinion on why I think technical solutions to security problems and security policies are bogus before. I won't bother to repeat it here.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><div dir="ltr"><div></div><div>Regards,<br></div><div>Manuel<br></div><div class="gmail_extra"><span><br><div class="gmail_quote">2015-03-09 14:30 GMT+01:00 Matthias Clasen <span dir="ltr"><<a href="mailto:matthias.clasen@gmail.com" target="_blank">matthias.clasen@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span>On Mon, Mar 9, 2015 at 1:38 AM, Manuel Bachmann<br>
<<a href="mailto:manuel.bachmann@open.eurogiciel.org" target="_blank">manuel.bachmann@open.eurogiciel.org</a>> wrote:<br>
<br>
> Any comments on this ?<br>
><br>
<br>
</span>I don't think it makes sense to develop a specific solution just for<br>
the portion of application sandboxing that happens to overlap with<br>
wayland protocol requests. The same questions need to be answered when<br>
a third-party application e.g. wants to open a file or send an email.<br>
</blockquote></div><br><br clear="all"><br></span><span>-- <br><div><div dir="ltr"><font>Regards,<br>
<br>
<i><b>Manuel BACHMANN</b><br>
Tizen Project<br>
VANNES-FR</i><br>
</font></div></div>
</span></div></div>
<br></span><span>_______________________________________________<br>
wayland-devel mailing list<br>
<a href="mailto:wayland-devel@lists.freedesktop.org" target="_blank">wayland-devel@lists.freedesktop.org</a><br>
<a href="http://lists.freedesktop.org/mailman/listinfo/wayland-devel" target="_blank">http://lists.freedesktop.org/mailman/listinfo/wayland-devel</a><br>
<br></span></blockquote></div><span><font color="#888888"><br><br clear="all"><br>-- <br><div>  Jasper<br></div>
</font></span></div></div>
</blockquote></div><br><br clear="all"><br>-- <br><div><div dir="ltr"><font>Regards,<br>
<br>
<i><b>Manuel BACHMANN</b><br>
Tizen Project<br>
VANNES-FR</i><br>
</font></div></div>
</div>
</blockquote></div>