<div dir="ltr"><div><br></div><div>> <span class="gmail-im">Limiting which applications can have access to which directories</span><br></div><div><br></div><div>yes, here is a screenshot where I limited application access to only ~/Documents</div><div><br></div><div><a href="https://twitter.com/muayyadalsadi/status/870986338111299584">https://twitter.com/muayyadalsadi/status/870986338111299584</a></div><div><br></div><div><br></div><div>> When I install an application through flatpak, does it automatically get sanboxed?</div><div><br></div><div>yes, but the default/automatic is controlled by app manifest, but we need a UI to show those and allow user to decline some based on user choice, not app author choice<br></div><div><br></div><div>> Does Sandboxing applications slow it down, if so by how much? <br></div><div>>> In theory there is some slowdown as there are additional kernel-side checks, but its basically negligible.</div><div><br></div><div>yes, the overhead of sandboxing itself is negligible</div><div>there is an overhead of missing the system-wide cache (using different libgtk.so other than the one that is already loaded)<br></div><div>Flatpak tries to reuse many of those like font caching.</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Aug 6, 2018 at 11:16 AM Alexander Larsson <<a href="mailto:alexl@redhat.com">alexl@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jul 11, 2018 at 4:00 PM, Joe Smith <span dir="ltr"><<a href="mailto:justman111111@gmail.com" target="_blank">justman111111@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">To whom it may concern,<div><br></div><div>I wanted to enquire a few security questions. Can flatpak sandboxiing do the following:</div><div><ul><li>Prevent apps from having access to the user name</li></ul></div></div></blockquote><div><br></div><div>No, the user name is visible to all apps.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>Taking screenshots without the consent of the user</li></ul></div></div></blockquote><div><br></div><div>This works only if the user is using Wayland, not X11.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>Having Internet access</li></ul></div></div></blockquote><div><br></div><div>Yes, sandboxes can either have no, or full network access.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>Limiting which applications can have access to which directories</li></ul></div></div></blockquote><div><br></div><div>Yes.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>I have further questions about flatpak which are:</div></div><div><ul><li>When I install an application through flatpak, does it automatically get sanboxed?</li></ul></div></div></blockquote><div><br></div><div>All apps are sandboxed to some degree, but the details differ from app to app. The application requests a list of permission during install, and once installed those are granted by default. The user can chose to override these, but generally that means the app is likely to not work (because it needed that permission).<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>Does Sandboxing applications slow it down, if so by how much? </li></ul></div></div></blockquote><div><br></div><div>In theory there is some slowdown as there are additional kernel-side checks, but its basically negligible.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>If I have installed an application NOT from flatpak, then is it still possible to sandbox that application through flatpak?</li></ul></div></div></blockquote><div>No.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><ul><li>What is <i>flathub</i>?</li></ul></div></div></blockquote><div><br></div><div>Flathub is a central location for many apps packaged as flatpaks.<br></div><div> </div></div></div></div>
_______________________________________________<br>
Flatpak mailing list<br>
<a href="mailto:Flatpak@lists.freedesktop.org" target="_blank">Flatpak@lists.freedesktop.org</a><br>
<a href="https://lists.freedesktop.org/mailman/listinfo/flatpak" rel="noreferrer" target="_blank">https://lists.freedesktop.org/mailman/listinfo/flatpak</a><br>
</blockquote></div>