home.social

#sandboxing — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #sandboxing, aggregated by home.social.

  1. For anyone interested in #Linux security, a good explanation of a way to escape from the #Flatpak sandbox has been posted to the oss-security mailing list today: openwall.com/lists/oss-securit

    You might also want to read this article from last year: linuxjournal.com/content/when-

    cc @Seg

    #sandboxing #dbus #xdg #freedesktop #wine

  2. For anyone interested in #Linux security, a good explanation of a way to escape from the #Flatpak sandbox has been posted to the oss-security mailing list today: openwall.com/lists/oss-securit

    You might also want to read this article from last year: linuxjournal.com/content/when-

    cc @Seg

    #sandboxing #dbus #xdg #freedesktop #wine

  3. For anyone interested in #Linux security, a good explanation of a way to escape from the #Flatpak sandbox has been posted to the oss-security mailing list today: openwall.com/lists/oss-securit

    You might also want to read this article from last year: linuxjournal.com/content/when-

    cc @Seg

    #sandboxing #dbus #xdg #freedesktop #wine

  4. For anyone interested in #Linux security, a good explanation of a way to escape from the #Flatpak sandbox has been posted to the oss-security mailing list today: openwall.com/lists/oss-securit

    You might also want to read this article from last year: linuxjournal.com/content/when-

    cc @Seg

    #sandboxing #dbus #xdg #freedesktop #wine

  5. For anyone interested in #Linux security, a good explanation of a way to escape from the #Flatpak sandbox has been posted to the oss-security mailing list today: openwall.com/lists/oss-securit

    You might also want to read this article from last year: linuxjournal.com/content/when-

    cc @Seg

    #sandboxing #dbus #xdg #freedesktop #wine

  6. 👀 So, here's 18 minutes of pure geeky bliss where we pretend #sandboxing is as thrilling as bungee jumping. 🏗️ Let's endlessly list things like namespaces, #cgroups, and #gVisor while forgetting that 99% of readers are now asleep. 😴 Keep your kernels close, folks, because apparently, they’re the rockstars of this yawn-fest. 🎸
    shayon.dev/post/2026/52/lets-d #geekybliss #techhumor #HackerNews #ngated

  7. Заметки на полях: Изолируем Lua окружение в C++ приложении. Часть 3/3

    В прошлый раз мы с вами остановились на том, что на всякую хитрую резьбу в виде ограничений на загрузку функционала библиотек и сторонних модулей, а также изоляции скриптов внутри разрешённых путей найдётся свой болт, в лице возможностей самого языка, которые позволяют осознанно или в силу кривизны рук свести на нет все наши усилия сохранить стабильность. В этой части разберём как из букв 'О', 'П', 'Ж' и 'А' while true do end ...составить слово "СЧАСТЬЕ".

    habr.com/ru/articles/991960/

    #c++ #lua #разработка_игр #песочницы #sandboxing #изоляция_ресурсов #скриптовые_языки

  8. Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

  9. Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

  10. Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

  11. Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

  12. ----------------

    🛠️ Tool
    ===================

    Opening: Trail of Bits maintains an opinionated configuration repository for working with Claude Code that codifies defaults, workflows, and recommended patterns for security audits, development, and research. The project documents approaches for sandboxing, permission handling, extensibility via hooks and skills, and options for MCP servers and local models.

    Key Features:
    • Sandboxing and permissions: clear guidance on restricting agent capabilities and separating risky actions from privileged contexts.
    • Hooks and skills: patterns for extending Claude Code with custom hooks and reusable skills to automate common audit tasks.
    • MCP server patterns: documented layouts and usage patterns for Model Context Protocol servers to centralize context management across sessions.
    • Local model support: notes and recommendations for running local models with tools such as LM Studio and headless daemons like llmster.
    • Terminal and session guidance: recommended terminal (Ghostty) and operational notes for handling long, high-volume Claude Code sessions.

    Technical Implementation:
    • The repository presents opinionated configuration files, integration points for hooks/skills, and documented MCP server topologies rather than executable scripts.
    • Design choices emphasize principle-of-least-privilege for agent actions, separation of IO-bound operations into isolated sandboxes, and modular skill injection to keep sessions auditable and reproducible.

    Use Cases:
    • Security audits where an analyst needs repeatable LLM-driven workflows constrained by explicit permission boundaries.
    • Development and research setups requiring local model experimentation, context servers, and consistent session tooling.
    • Teams that require a shared baseline for Claude Code sessions to reduce variance across engagements.

    Limitations:
    • The repository is opinionated and reflects Trail of Bits operational preferences; it may not fit all organizational policies or threat models.
    • Some components referenced (terminals, local model tooling) assume platform compatibility and may require alternative choices in constrained environments.

    References:
    • Core concepts include claude-code-config, Ghostty, LM Studio, llmster, and MCP patterns. Documentation focuses on capabilities and integration patterns rather than installation or runtime instructions.

    🔹 tool #claudecode #mcp #sandboxing #trailofbits

    🔗 Source: github.com/trailofbits/claude-

  13. Заметки на полях: Изолируем Lua окружение в C++ приложении. Часть 2

    В прошлый раз мы остановились на том, что в творческом порыве на всём скаку отсекли целый пласт потенциальных возможностей нашкодить при помощи функций стандартных библиотек Lua — доступ к файловой системе и функциям ОС, системным командам и переменным окружения, возможность подгрузки сторонних Lua-модулей и C-библиотек на стороне скриптов и чего только ещё не. Напрочь отсекли. Настолько напрочь, что существенно осложнив жизнь пытливым умам юных любителей экспериментов, мы сами себе связали руки. Скрипты теперь можно вызывать только со стороны C++, а значит, о гибкости и модульности скриптовой части проекта можно было бы смело забыть. ... но можно ослабить удавку.

    habr.com/ru/articles/987990/

    #c++ #lua #разработка_игр #песочницы #sandboxing #изоляция_ресурсов #скриптовые_языки

  14. Заметки на полях: Изолируем Lua окружение в C++ приложении

    Скриптовые языки уже давно и прочно заняли свою нишу в игрострое — они существенно упрощают описание игровой логики, уровней, ресурсов, диалогов, квестов, UI и чего только не. Что позволяет отдать эти задачи целиком и полностью в творческие руки гейм-/левел-/прочих-дизайнеров и других членов команды, которым не нужно обладать знаниями в том же C++. Разделение ответственности, ускорение разработки, облегчение моддинга возможность, по завершению разработки самого движка, вышвырнуть программистов на мороз и стричь купоны на бесконечных дополнениях — в общем, одни только плюсы. Да? Да. А ещё дыры в безопасности и ... ... уйма путей уронить стабильность.

    habr.com/ru/articles/987882/

    #c++ #lua #разработка_игр #песочницы #sandboxing #изоляция_ресурсов #скриптовые_языки

  15. 🎩✨ Behold! Another open-source #VM tool, because who doesn't love turning their Mac into a virtual circus? 🎪🤹‍♂️ Just what we needed, a "revolutionary" way to run #macOS sandboxes with the same excitement as watching paint dry. 🌧️💤
    cua.ai/docs/lume/guide/getting #openSource #virtualCircus #sandboxing #techHumor #innovation #HackerNews #ngated

  16. 🎩✨ Behold! Another open-source #VM tool, because who doesn't love turning their Mac into a virtual circus? 🎪🤹‍♂️ Just what we needed, a "revolutionary" way to run #macOS sandboxes with the same excitement as watching paint dry. 🌧️💤
    cua.ai/docs/lume/guide/getting #openSource #virtualCircus #sandboxing #techHumor #innovation #HackerNews #ngated

  17. 🎩✨ Behold! Another open-source #VM tool, because who doesn't love turning their Mac into a virtual circus? 🎪🤹‍♂️ Just what we needed, a "revolutionary" way to run #macOS sandboxes with the same excitement as watching paint dry. 🌧️💤
    cua.ai/docs/lume/guide/getting #openSource #virtualCircus #sandboxing #techHumor #innovation #HackerNews #ngated

  18. 🎩✨ Behold! Another open-source #VM tool, because who doesn't love turning their Mac into a virtual circus? 🎪🤹‍♂️ Just what we needed, a "revolutionary" way to run #macOS sandboxes with the same excitement as watching paint dry. 🌧️💤
    cua.ai/docs/lume/guide/getting #openSource #virtualCircus #sandboxing #techHumor #innovation #HackerNews #ngated

  19. AI coding agents are brilliant, until they treat your laptop like a playground.

    Docker Sandboxes runs agents inside a containerised workspace that mirrors your repo, so they can run commands, install packages, and edit files without having free rein over your host.

    Watch: https://www.youtube.com/watch?v=tdmqL3mEneo

    #Docker #AIAgents #Sandboxing #Containers #Security
  20. #AIAnToan #Sandboxing #KhoaHocDuLieu #AIQuanLy

    Giới hạn hành vi tự chủ của agent AI thông qua sandboxing – bài viết phân tích rủi ro từ truy cập tool không kiểm soát, lộ trình mạng/hệ thống, và các giải pháp như Docker, Firecracker, gVisor. Tìm hiểu cách tối ưu an toàn trong sản phẩm.

    #AIUnsafe #AnToanCongNghe #QuanLyAI #Container #MicroVM #GVisor #DevOps #Cybersecurity

    reddit.com/r/programming/comme

  21. #AIAnToan #Sandboxing #KhoaHocDuLieu #AIQuanLy

    Giới hạn hành vi tự chủ của agent AI thông qua sandboxing – bài viết phân tích rủi ro từ truy cập tool không kiểm soát, lộ trình mạng/hệ thống, và các giải pháp như Docker, Firecracker, gVisor. Tìm hiểu cách tối ưu an toàn trong sản phẩm.

    #AIUnsafe #AnToanCongNghe #QuanLyAI #Container #MicroVM #GVisor #DevOps #Cybersecurity

    reddit.com/r/programming/comme

  22. Гайд по архитектуре браузерных песочниц: как работает изоляция JavaScript-кода

    Всем привет! Последние несколько месяцев я работаю над пет-проектом — интерактивной образовательной платформой для изучения Web Audio API и принципов обработки и синтеза цифрового звука. На платформе пользователи смогут решать задачи, программируя на JavaScript прямо в браузере. Эти программы выполняются в изолированной среде — песочнице , где пользовательский код не может повлиять на работу самой платформы. Когда я начал реализовывать песочницу для своего проекта, я быстро понял, что это куда сложнее, чем кажется на первый взгляд. Я перепробовал разные подходы и убедился, что тема изоляции кода в браузере далека от очевидной, а большинство материалов в сети рассматривают её лишь поверхностно. Из моих исследований и экспериментов выросла эта статья — подробный разбор того, как устроены песочницы в браузере и какие архитектурные принципы и нюансы безопасности лежат в их основе. Устроиться поудобнее и погрузиться в тему

    habr.com/ru/articles/965830/

    #песочница #sandbox #sandboxing #изоляция #iframe #realm #shadowrealm #архитектура_песочниц #изоляция_кода

  23. Гайд по архитектуре браузерных песочниц: как работает изоляция JavaScript-кода

    Всем привет! Последние несколько месяцев я работаю над пет-проектом — интерактивной образовательной платформой для изучения Web Audio API и принципов обработки и синтеза цифрового звука. На платформе пользователи смогут решать задачи, программируя на JavaScript прямо в браузере. Эти программы выполняются в изолированной среде — песочнице , где пользовательский код не может повлиять на работу самой платформы. Когда я начал реализовывать песочницу для своего проекта, я быстро понял, что это куда сложнее, чем кажется на первый взгляд. Я перепробовал разные подходы и убедился, что тема изоляции кода в браузере далека от очевидной, а большинство материалов в сети рассматривают её лишь поверхностно. Из моих исследований и экспериментов выросла эта статья — подробный разбор того, как устроены песочницы в браузере и какие архитектурные принципы и нюансы безопасности лежат в их основе. Устроиться поудобнее и погрузиться в тему

    habr.com/ru/articles/965830/

    #песочница #sandbox #sandboxing #изоляция #iframe #realm #shadowrealm #архитектура_песочниц #изоляция_кода

  24. Гайд по архитектуре браузерных песочниц: как работает изоляция JavaScript-кода

    Всем привет! Последние несколько месяцев я работаю над пет-проектом — интерактивной образовательной платформой для изучения Web Audio API и принципов обработки и синтеза цифрового звука. На платформе пользователи смогут решать задачи, программируя на JavaScript прямо в браузере. Эти программы выполняются в изолированной среде — песочнице , где пользовательский код не может повлиять на работу самой платформы. Когда я начал реализовывать песочницу для своего проекта, я быстро понял, что это куда сложнее, чем кажется на первый взгляд. Я перепробовал разные подходы и убедился, что тема изоляции кода в браузере далека от очевидной, а большинство материалов в сети рассматривают её лишь поверхностно. Из моих исследований и экспериментов выросла эта статья — подробный разбор того, как устроены песочницы в браузере и какие архитектурные принципы и нюансы безопасности лежат в их основе. Устроиться поудобнее и погрузиться в тему

    habr.com/ru/articles/965830/

    #песочница #sandbox #sandboxing #изоляция #iframe #realm #shadowrealm #архитектура_песочниц #изоляция_кода

  25. Гайд по архитектуре браузерных песочниц: как работает изоляция JavaScript-кода

    Всем привет! Последние несколько месяцев я работаю над пет-проектом — интерактивной образовательной платформой для изучения Web Audio API и принципов обработки и синтеза цифрового звука. На платформе пользователи смогут решать задачи, программируя на JavaScript прямо в браузере. Эти программы выполняются в изолированной среде — песочнице , где пользовательский код не может повлиять на работу самой платформы. Когда я начал реализовывать песочницу для своего проекта, я быстро понял, что это куда сложнее, чем кажется на первый взгляд. Я перепробовал разные подходы и убедился, что тема изоляции кода в браузере далека от очевидной, а большинство материалов в сети рассматривают её лишь поверхностно. Из моих исследований и экспериментов выросла эта статья — подробный разбор того, как устроены песочницы в браузере и какие архитектурные принципы и нюансы безопасности лежат в их основе. Устроиться поудобнее и погрузиться в тему

    habr.com/ru/articles/965830/

    #песочница #sandbox #sandboxing #изоляция #iframe #realm #shadowrealm #архитектура_песочниц #изоляция_кода

  26. Dropserver progress update for October 2025: I talk about shipping for the Mac and for Linux on arm64 🎉 plus some work on the Windows version.

    Also, some talk about #sandboxing on #MacOS.

    olivierforget.net/blog/2025/dr

  27. 🍾🤡 #Bubblewrap, the high-tech innovation to #NetBSD, because who needs robust security when you can just pop your way to safety? 🎈✨ Welcome to the future of sandboxing: as strong as the packaging your last Amazon delivery came in. 🚀🛍️
    blog.netbsd.org/tnf/entry/gsoc #TechInnovation #Sandboxing #SecurityFail #FutureOfTech #HackerNews #ngated

  28. 🍾🤡 #Bubblewrap, the high-tech innovation to #NetBSD, because who needs robust security when you can just pop your way to safety? 🎈✨ Welcome to the future of sandboxing: as strong as the packaging your last Amazon delivery came in. 🚀🛍️
    blog.netbsd.org/tnf/entry/gsoc #TechInnovation #Sandboxing #SecurityFail #FutureOfTech #HackerNews #ngated

  29. 🍾🤡 #Bubblewrap, the high-tech innovation to #NetBSD, because who needs robust security when you can just pop your way to safety? 🎈✨ Welcome to the future of sandboxing: as strong as the packaging your last Amazon delivery came in. 🚀🛍️
    blog.netbsd.org/tnf/entry/gsoc #TechInnovation #Sandboxing #SecurityFail #FutureOfTech #HackerNews #ngated

  30. 🍾🤡 #Bubblewrap, the high-tech innovation to #NetBSD, because who needs robust security when you can just pop your way to safety? 🎈✨ Welcome to the future of sandboxing: as strong as the packaging your last Amazon delivery came in. 🚀🛍️
    blog.netbsd.org/tnf/entry/gsoc #TechInnovation #Sandboxing #SecurityFail #FutureOfTech #HackerNews #ngated

  31. #Flatpak1.17 - das steht uns bevor - #fosstopia:

    Nach einer längeren #Entwicklungsphase meldet sich #Flatpak eindrucksvoll zurück. Sebastian Wick von Red Hat hat kürzlich Einblicke in die Arbeit am beliebten #Linux- #Sandboxing- #Framework gegeben. Die Pre-Release-Version 1.17 markiert die erste Aktualisierung seit sechs Monaten und startet eine neue instabile Serie und beerbt Version 1.16.1.

    fosstopia.de/flatpak-1-17-das-

  32. #Flatpak1.17 - das steht uns bevor - #fosstopia:

    Nach einer längeren #Entwicklungsphase meldet sich #Flatpak eindrucksvoll zurück. Sebastian Wick von Red Hat hat kürzlich Einblicke in die Arbeit am beliebten #Linux- #Sandboxing- #Framework gegeben. Die Pre-Release-Version 1.17 markiert die erste Aktualisierung seit sechs Monaten und startet eine neue instabile Serie und beerbt Version 1.16.1.

    fosstopia.de/flatpak-1-17-das-

  33. #Flatpak1.17 - das steht uns bevor - #fosstopia:

    Nach einer längeren #Entwicklungsphase meldet sich #Flatpak eindrucksvoll zurück. Sebastian Wick von Red Hat hat kürzlich Einblicke in die Arbeit am beliebten #Linux- #Sandboxing- #Framework gegeben. Die Pre-Release-Version 1.17 markiert die erste Aktualisierung seit sechs Monaten und startet eine neue instabile Serie und beerbt Version 1.16.1.

    fosstopia.de/flatpak-1-17-das-

  34. #Flatpak1.17 - das steht uns bevor - #fosstopia:

    Nach einer längeren #Entwicklungsphase meldet sich #Flatpak eindrucksvoll zurück. Sebastian Wick von Red Hat hat kürzlich Einblicke in die Arbeit am beliebten #Linux- #Sandboxing- #Framework gegeben. Die Pre-Release-Version 1.17 markiert die erste Aktualisierung seit sechs Monaten und startet eine neue instabile Serie und beerbt Version 1.16.1.

    fosstopia.de/flatpak-1-17-das-

  35. #Flatpak1.17 - das steht uns bevor - #fosstopia:

    Nach einer längeren #Entwicklungsphase meldet sich #Flatpak eindrucksvoll zurück. Sebastian Wick von Red Hat hat kürzlich Einblicke in die Arbeit am beliebten #Linux- #Sandboxing- #Framework gegeben. Die Pre-Release-Version 1.17 markiert die erste Aktualisierung seit sechs Monaten und startet eine neue instabile Serie und beerbt Version 1.16.1.

    fosstopia.de/flatpak-1-17-das-