The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В рамках проекта Sandstorm развивается платформа для персональных web-серверов

18.07.2016 11:53

Проект Sandstorm, развивает новую открытую платформу для обеспечения работы персональных серверов, позволяющую обычным пользователям без лишних усложнений запускать web-приложения на собственном оборудовании или во внешнем облаке. Код написан на языке С++ и доступен под лицензией Apache 2.0.

Для создания инфраструктуры достаточно запустить один скрипт и зайти в web-интерфейс, после чего можно в один клик запустить приложения из специального каталога, в котором представлены такие программы, как WordPress, MediaWiki, MediaGoblin, GitWeb, Apache Wave, EtherCalc, GitLab, Etherpad и Wekan. Т.е. неспециалист может легко без наличия каких-то особых технических навыков создавать решения для совместной работы, редактирования документов в стиле Google Docs, запускать чаты, создавать самодостаточные системы ведения блогов и т.п. Пользователь также может создавать резервные копии состояния приложения и переносить их между системами. Все данные на диске хранятся в зашифрованном виде.

В Sandstorm используется необычный подход к обеспечению изоляции: приложение запускается в изолированном контейнере, при этом отдельный изолированный контейнер привязывается к данным и создаётся для каждого обрабатываемого в приложении объекта - например, для каждого редактируемого в Etherpad документа или создаваемого в Wekan канала в чате. Обращение к внешним ресурсам и другим изолированным окружениям требует явного подтверждения операции от пользователя, что позволяет неплохо защититься от эксплуатации уязвимостей в различных обработчиках контента.

Например, при открытии подготовленного злоумышленником документа с эксплоитом, атака не выйдет за пределы окружения текущего документа и не приведёт к проблемам в окружениях для редактирования других документов. Каждый сеанс работы с приложением осуществляется с использованием случайно сгенерированного имени хоста (например, https://96cab9109791f52540022c1f857ecee7.sandstorm.example.com/) - обратиться к приложению можно только зная данное имя или имея доступ к учётной записи пользователя-владельца в Sandstorm.

Кроме того, Sandstorm позволяет контролировать доступ к каждому объекту/документу и гибко управлять предоставлением полномочий и средствами для совместной работы. В том числе, можно открыть возможность обращения к запущенному экземпляру приложения для другого пользователя и контролировать кто и когда обращался к экземпляру приложения или документу. Для доступа к приложениям используется единый набор параметров идентификации (Single Sign-on), задаваемый в интерфейсе Sandstorm и не требующий создания отдельных аккаунтов в приложениях. В свою очередь, учётная запись в Sandstorm может быть привязана к внешним службам идентификации, например, к аккаунтам в Google, Twitter и GitHub.

Подобный подход к изоляции и аутентификации может потребовать адаптации приложений для приведения их в вид, пригодный для использования в Sandstorm. Программы распространяются через централизованный каталог, в котором размещены в формате пакетов SPK. В настоящее время в каталоге доступно 58 приложений. Приложения обновляются автоматически как только появляются новые версии пакета, что позволяет всегда поддерживать окружение в актуальном состоянии и оперативно блокировать уязвимости. Все пакеты и обновления доставляются с верификацией по цифровой подписи.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44804-sandstorm
Ключевые слова: sandstorm, web, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:56, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >неспециалист может легко без наличия каких-то особых технических навыков создавать решения
    >Обращение к внешним ресурсам и другим изолированным окружением требует явного подтверждения операции от пользователя, что позволяет неплохо защититься от эксплуатации уязвимостей

    Можно подумать "неспециалист" будет их вдумчиво читать. Будет жать "ок" лишьбы не загружили его нежный моск лишней информацией( по аналогии с UAC в виндах)

     
     
  • 2.2, тоже Аноним (ok), 13:07, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для ситуаций, когда внешнее вмешательство не имеет смысла, просто в настройках отключается вывод такого запроса. Deny from All, что-то вроде этого. И это может быть выставлено у большей части приложений по умолчанию.
     
  • 2.3, омномномнимус (?), 13:10, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    или права в андроиде. Идея хорошая, но пользователи как всегда оказываются не на высоте :-)
     
     
  • 3.5, тоже Аноним (ok), 13:39, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    У этой идеи была очевидная хорошая реализация - выбор, какие запросы приложения действительно будут получать нужную им информацию, а какие получат заглушку, эмулирующую как бы телефон и как бы интернет для очередного фонарика.
    Но так слишком легко обмануть рекламные приложения - а это бизнес, это святое.
    Вот и имеем соответствующий результат...
     
     
  • 4.6, _hide_ (ok), 14:37, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рекламные? Причем тут реклама? Как раз для неё никаких проблем нет - хочешь - показывай, не хочешь, не показывай.
    Тут проблема была именно в приватности. Как это ты не хочешь нам показывать список контактов? Свои календари и номер карточки? Да у тебя есть, что скрывать, поэтому мы бросим непонятное прерывание (чтобы приложение упало) и будем искать более сговорчивых.
     
     
  • 5.7, тоже Аноним (ok), 15:47, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это кому вы приписываете подобный интерес?
    Гуглю, который и так имеет ваш телефон, как хочет?
    Или сонмищу китайских дерьмописцев, на которых тому Гуглю - с Ханойской башни?
     
  • 4.29, arisu (ok), 00:27, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    это оказалось всего лишь невостребованным.
     

  • 1.4, Аноним (-), 13:38, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Это болезнь.


    Как насчёт бэкапов и миграций?

     
  • 1.8, G.NercY.uR (?), 16:12, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем неспециалисту все эти веб-приложения? Их же кроме установки ещё и настраивать маломальски надо. Да и в принципе неспециалисту они как мне кажется без надобронсти. А специалисты такое использовать не будут.
     
     
  • 2.11, Crazy Alex (ok), 17:16, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот идея как раз в том, чтобы их не настраивать. Как в приличном дистрибутиве десктопный софт особо натсраивать не надо - знай апдейты ставь. Нормальное решение "для гуманитариев", если дефолт для запросов, конечно, в "отказать" поставить.
     
     
  • 3.20, Аноним (-), 02:27, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ох сколько их было... А сколько ещё будет...

    Этот устойчивый карго-культ "делаем для ПРОСТОГО™ пользователя" раз за разом макает своих адоптеров рожей в этсамое, но они продолжают упорно долбиться своим толоконным лбом в бетонную стену. "Гугл же ШМОГ, а чем мы хуже?"

    Сложный софт не подходит для ПРОСТОГО™ пользователя. Попытки сделать "апдейтер для дeбилoв", без вмешательства в сам софт, или хотя бы без влияния на его вектор развития - обречены.

     
     
  • 4.22, Crazy Alex (ok), 03:55, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Всё верно - кроме предположения, что это "сложный софт". Вики, бложек и прочее - без наворотов, со вполне ограниченным функционалом - довольно простые штуки, которых достаточно в массе случаев. Тут главное в фичи не заигрываться.

    Нормальная ситуация же - есть какое-то сообщество - хоббисты, или ещё какие не-айтишники. Им сейчас либо профи-админа держать, либо завязываться на фейсбук какой (и огребать от придурей местной полиси и модераторов), даже если всё, что им нужно - это простенький форум и хранилище накопленного.

     
  • 4.30, arisu (ok), 00:32, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    выше Алекс написал совершенно верно: типовые решения для типовых задач — вполне нормальная вещь. недовольны подобным в основном эникейщики, которых по недосмотру наняли вместо системных администраторов: потому что полетят с работы. остальные — довольны. пользователи — тем, что можно избавиться от снобов‐дармоедов. сисадмины — тем, что их перестанут дёргать на установку очередного персонального бложега.
     
  • 2.13, 123 (??), 17:30, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А что вы собрались настраивать в DocuWiki или планировщике задач?
     
     
  • 3.24, Crazy Alex (ok), 04:00, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Настраивать-то там много чего можно, но можно этого и не делать - и для массы задач будет нормально.
     

  • 1.9, Аноним (-), 16:18, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Учитывая популярность платформы синолоджи это её аналого.
    Нужно.
     
  • 1.10, Аноним (-), 16:36, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думал аппартная платформа, а это что-то вроде виндового Denwer'a.
     
     
  • 2.12, Crazy Alex (ok), 17:17, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Разница в том, Что денвер заведеом не безопасен и ни для чего кроме разработки не предназначался в принципе. А здесь - именно для конечного пользователя.
     
     
  • 3.14, angra (ok), 18:39, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из "Если для разработчика, значит не безопасен" вовсе не следует "Если не для разработчика, значит безопасен". Учите логику.
     
     
  • 4.15, Crazy Alex (ok), 18:51, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Здесь скорее "учите физику" (или ещё какую естественную науку) - в смысле, ориентируйтесь прежде всего на наблюдаемое.

    Безопасность (ну, или попытка её обеспечить) следует из возни вокруг контейнеров, автоматических апдейтов и подобного. Если у них выйдет, конечно - но это уже другой вопрос, в принципе такая задача явно ставится.

     
     
  • 5.17, angra (ok), 20:48, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Здесь скорее "учите физику" (или ещё какую естественную науку) - в смысле,
    > ориентируйтесь прежде всего на наблюдаемое.

    Да, да, да, ведь лингвистика, история, социология или еще какая неестественная наука на наблюдаемое ну совсем не ориентируются. Ты бы хоть в википедии почитал, что такое наука и научный метод, если уж философия за гранью эрудиции или понимания.

     
     
  • 6.18, iLex (ok), 21:24, 18/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вся суть гуманитарных "наук" вроде истории или социологии заключается в подгонке результата под хотелки властей. Научным методом там даже не пахнет.
     
     
  • 7.19, angra (ok), 01:02, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С точки зрения обычного дурака - безусловно. Также как работа программиста заключается в том, чтобы пробормотать непонятные слова, побарабанить по клавиатуре и шайтан-машина сделает все как надо. А еще каждый программист умеет взламывать банки и воровать из них миллионы для работодателя.
     
     
  • 8.31, arisu (ok), 00:35, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    с точки зрения всех остальных людей кроме самих гуманитариев 8212 тоже ну, и... текст свёрнут, показать
     
  • 6.23, Crazy Alex (ok), 03:59, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да не кидайся ты с ровного места, это всего лишь пример. В делах гуманитарных часто сложнее понять, что вообще наблюдать и есть ли сам предмет наблюдения, чем что-либо ещё. А вот физика, особенно если не нынешняя, а, скажем, века восемнадцатого - штука очень предметная.
     
     
  • 7.26, angra (ok), 12:48, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это потому, что ты, как и iLex, не имеешь представления о том, как на самом деле работают точные гуманитарные науки. Подозреваю, что и о нынешней физике представления на том же обывательском уровне.
     
     
  • 8.27, Crazy Alex (ok), 15:06, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я как-то автоматом психологию и прочее икусствознание вспоминаю, это да Хот... текст свёрнут, показать
     
  • 8.32, arisu (ok), 00:38, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    пожимает плечами точно так же, как и раньше кто даму ужинает, тот её и танцуе... текст свёрнут, показать
     

  • 1.25, iCat (ok), 07:01, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > без наличия каких-то особых технических навыков

    Что-то мне это напомнило...
    А! Программирование без программистов!

     
     
  • 2.28, Crazy Alex (ok), 15:09, 19/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это возможность ткнуть кнопку на кофеварке и получить свой эспрессо. Узконаправленное, простое и ограниченное решение. Для веба - самое то, он всё равно удобно не автоматизируется.
     
     
  • 3.33, Аноним (-), 09:26, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типовая кофеварка не рассылает потом спам по всему интернету.
     
     
  • 4.34, Crazy Alex (ok), 11:28, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да - потому что она кофеварка, и запинать в неё рассылку спама - слишком много возни. И здесь примерно то же самое - не конфигурируемое узконаправленное решение, в общем, несложно сделать безопасным.
     
     
  • 5.35, Аноним (-), 03:50, 25/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > представлены такие программы, как: WordPress

    ...расскажи нам больше этих ох#%^%ительных историй.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру