<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 4, 2019 at 4:45 AM Alexander Larsson <<a href="mailto:alexl@redhat.com">alexl@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, Sep 3, 2019 at 9:28 PM Winnie Poon <<a href="mailto:winniepoon_home@hotmail.com" target="_blank">winniepoon_home@hotmail.com</a>> wrote:<br>
><br>
> Hi,<br>
><br>
> i'm working on running our product in the flatpak sandbox environment, and we had to punch a few holes, one being "--share=network" for it to work.<br>
><br>
> wanna see how others do it.  It seems like this network hole is a big hole to punch.  By relaxing this permission, would it defeat the purpose of a sandbox environment?   Is there a better way than this blanket access?<br>
<br>
I think a majority of apps these days use some form of network access.<br>
Its definately not something that e.g. android or iphone warn you<br>
about when installing an app. So, I think in general this is fine.<br>
<br>
However, it would be nice if we had a way to grant less than "full"<br>
network access. For example a NATed/firewalled mode where incoming<br>
accesses would be disallowed. However, at this point that is<br>
technically hard to do as an unprivileged user with the current kernel<br>
APIs.<br>
</blockquote><div><br></div><div>There have been some suggestions that this could be done as a portal that talks to NetworkManager to set up some tunnel. Do you think that is something we should pursue ? <br></div></div></div>