Open wangshijun opened 1 week ago
先临时允许应用内的组件读取整个应用的数据目录
后续我们参考: https://developer.chrome.com/docs/extensions/reference/permissions-list 来设计 blocklet 的权限模型,因为这两天的感受:
除文件外,nodejs或者pm2目前这个允许管理进程的网络连接吗?
比如某些不允许其发起/接受网络连接 会更安全,或者限制其允许的端口、连接服务等,防止有恶意Blocklet试图把数据报告出去或者接受后门接入。
除文件外,nodejs或者pm2目前这个允许管理进程的网络连接吗?
比如某些不允许其发起/接受网络连接 会更安全,或者限制其允许的端口、连接服务等,防止有恶意Blocklet试图把数据报告出去或者接受后门接入。
进程、网络的限制在计划中,接下来会陆续优化,但是整体思路还是参考 Chrome、手机操作系统:权限模块化、应用自己申请、用户来授权。
比如 pages-kit、discuss-kit 里面的 resource blocklet 消费、pages-kit 里面的页面导入都坏了