特集:builder的Lionのみどころ--サンドボックス、SMB、irb

海上忍
2011-07-25 11:01:00
  • このエントリーをはてなブックマークに追加
最新特集【一覧】

 Lion特集の第2弾となる今回は、引き続き「builder的Lionのみどころ」と称し、Lionのいぶし銀的新機能や変更点を見ていきたい。

本格化する「サンドボックス」の波

 一般ユーザーには特にアピールされていないようだが、Lionではアプリケーションの「サンドボックス化」が進められている。サンドボックスとは、文字通り「砂場」であり、保護された環境下でプログラムを実行し不正処理を防ぐセキュリティモデルの一種。OS Xでは、Leopard以降段階的に導入されてきたものだ。

 サンドボックス化されているアプリケーションの代表格が、Lionデフォルトのブラウザ「Safari 5.1」。従来のWebKitに代わるレンダリングエンジン「WebKit2」を採用、Lionで起動したときのみサンドボックスが有効になる。レンダリング以外のプロセスを分離することで、プラグインを原因とした不正終了や、マルウェアによる不正動作を防ぐことが主な目的だ。

 なお、WebKit2の特徴については、1年3カ月前の記事『ブラウザエンジンの新潮流「WebKit2」』をあわせて参照いただきたい。

Safari 5.1でいうところのサンドボックスは、現在のところLionにのみ収録されている「WebKit2」に依存するため、Snow Leopardなど他の環境では利用できない※クリックで拡大画像を表示 Safari 5.1でいうところのサンドボックスは、現在のところLionにのみ収録されている「WebKit2」に依存するため、Snow Leopardなど他の環境では利用できない※クリックで拡大画像を表示

 Lionで進められているアプリケーションのサンドボックス化は、Safari/WebKit2のそれとは話を分けて考えたほうがいい。

 Lionにおけるアプリケーションのサンドボックス化は、特定のアプリケーションに制限を設け、ファイルアクセスなどある種の処理を妨げる機構のことだ。Leopardのときから、QuickLookやSpotlightなど一部機能に利用されていたが、Lionでは通常のアプリケーションにも範囲が広げられた。

 そのために必要とされる処理が「署名」だ。未署名のバイナリがサンドボックスで実行されると、ユーザーに対しダイアログやプロンプトで警告を与える、といった対応が可能になる。現在のところ署名は必須ではないが、Appleはセキュリティの観点からこれを強く推奨しているため、将来的には無署名のアプリケーションがなんらかの形で制限を受ける可能性がある。

Lionに始まった話ではないが、OS Xに標準装備のアプリケーション/コマンドには「署名」がある※クリックで拡大画像を表示 Lionに始まった話ではないが、OS Xに標準装備のアプリケーション/コマンドには「署名」がある※クリックで拡大画像を表示
  • 新着記事
  • 特集
  • ブログ