Каталог контейнера тестовой среды приложения

Каталог контейнера тестовой среды приложения имеет следующие характеристики:

• Это расположено в системном определенном тракте в корневом каталоге пользователя. Когда Ваше приложение вызывает, в поигравшем в песочнице приложении возвращается этот путь NSHomeDirectory функция.

• Ваше приложение имеет неограниченный доступ для чтения-записи к контейнеру и его подкаталогам.

• Новаторский APIs OS X (выше уровня POSIX) относится к расположениям, которые являются определенными для Вашего приложения.

  Большая часть этого новаторского APIs относится к расположениям относительно контейнера Вашего приложения. Например, контейнер включает частное лицо Library каталог (указанный NSLibraryDirectory постоянный путь поиска) для использования только Вашим приложением, с частным лицом Application Support и Preferences подкаталоги.

  Используя Ваш контейнер для файлов поддержки не требует никакого изменения кода (от версии перед песочницей Вашего приложения), но может потребовать разовой миграции, как объяснено в Миграции Приложения к Песочнице.

  Некоторый новаторский APIs (выше уровня POSIX) относится к специфичным для приложения расположениям за пределами корневого каталога пользователя. В поигравшем в песочнице приложении, например, NSTemporaryDirectory функция обеспечивает путь к каталогу, который является за пределами корневого каталога пользователя, но определенный для Вашего приложения и в Вашей песочнице; у Вас есть неограниченный доступ для чтения-записи к нему для текущего пользователя. Поведение этого новаторского APIs соответственно приведено в соответствие с Тестовой средой приложения, и никакое изменение кода не необходимо.

• OS X устанавливает и осуществляет соединение между Вашим приложением и его контейнером посредством подписи кода Вашего приложения.

• Контейнер находится в скрытом расположении, и таким образом, пользователи не взаимодействуют с ним непосредственно. В частности контейнер не для пользовательских документов. Именно для файлов Ваше использование приложения, вместе с базами данных, кэшами и другими специфичными для приложения данными.

  Для приложения стиля обувной коробки, в котором Вы обеспечиваете единственный пользовательский интерфейс для содержания пользователя, то содержание входит в контейнер, и Ваше приложение имеет полный доступ к нему.

Благодаря подписыванию кода никакое другое поигравшее в песочнице приложение не может получить доступ к Вашему контейнеру, даже если это пытается подменить Вашим приложением при помощи Вашего идентификатора пакета. Будущие версии Вашего приложения, однако — при условии, что Вы используете ту же подпись кода и идентификатор пакета — действительно снова используют контейнер Вашего приложения.

Когда тот пользователь сначала выполняет приложение, для каждого пользователя контейнерный каталог поигравшего в песочнице приложения создается автоматически. Поскольку контейнер в корневом каталоге пользователя, каждый пользователь в системе получает их собственный контейнер для Вашего приложения.

Каталог контейнера группы приложений

В дополнение к на контейнеры приложения, в OS X v10.7.5 и в OS X v10.8.3 и позже, приложение может использовать com.apple.security.application-groups право, чтобы запросить доступ к совместно используемому контейнеру, который характерен для многократных приложений, произведенных той же группой разработчиков. Этот контейнер предназначается для содержания, которое не является направлением пользователя, таким как совместно использованные кэши или базы данных.

Эти контейнеры группы автоматически добавляются в контейнер песочницы каждого приложения, как определено существованием этих ключей и сохранены в ~/Library/Group Containers/<application-group-id>, где <application-group-id> имя группы. Само название группы должно начаться с Вашей группы разработчиков ID, сопровождаемый периодом.

Начинаясь в OS X v10.8.3, Ваше приложение может получить путь к контейнерам группы путем вызова containerURLForSecurityApplicationGroupIdentifier: метод NSFileManager.

Для получения дополнительной информации посмотрите Добавление Приложения на Группу приложений в Дающей право Ключевой Ссылке.

Блок питания и доступ к файловой системе за пределами Вашего контейнера

Ваше поигравшее в песочнице приложение может получить доступ к местоположениям файловой системы за пределами своего контейнера следующими тремя способами:

• В определенном направлении пользователя

• При помощи прав для определенных расположений файловой системы (описанный в Правах и Доступе Системного ресурса)

• Когда местоположение файловой системы находится в определенных каталогах, которые являются читаемым миром

Технологию безопасности OS X, взаимодействующую с пользователем для расширения песочницы, вызывают Блоком питания. Блок питания не имеет никакого API. Когда Вы используете, Ваше приложение использует Блок питания прозрачно NSOpenPanel и NSSavePanel классы. Вы включаете Блок питания путем установки права с помощью XCode, как описано во Включении Выбранного пользователями File Access in Entitlement Key Reference.

При вызове Open или диалогового окна Save из поигравшего в песочнице приложения появляющееся окно представлено не AppKit, а Блоком питания. Используя Блок питания является автоматическим, когда Вы принимаете Тестовую среду приложения — это не требует никакого изменения кода от версии перед песочницей Вашего приложения. Вспомогательный панели, которые Вы реализовали для открытия или сохранения, искренне представляются и используются.

Преимущество безопасности, предоставленное Блоком питания, - то, что им нельзя управлять программно — в частности, нет никакого механизма для враждебного кода для использования Блока питания для доступа к файловой системе. Только пользователь, путем взаимодействия с Открытым и Сохраняет диалоговые окна через Блок питания, может использовать те диалоговые окна для достижения частей файловой системы за пределами ранее установленной песочницы. Например, если пользователь сохраняет новый документ, Блок питания разворачивает Вашу песочницу для предоставления доступа для чтения-записи приложения к документу.

Когда пользователь Вашего приложения указывает, что они хотят использовать файл или папку, система добавляет связанный путь к песочнице Вашего приложения. Скажите, например, пользователь перетаскивает ~/Documents папка на мозаику Прикрепления Вашего приложения (или на значок Finder Вашего приложения, или в открытое окно Вашего приложения), таким образом указывая они хотят использовать ту папку. В ответ система делает ~/Documents папка, ее содержание и ее подпапки, доступные Вашему приложению.

Если пользователь вместо этого открывает определенный файл или сохраняет к новому файлу, система делает указанный файл и тот файл одними, доступными Вашему приложению.

Кроме того, система автоматически разрешает поигравшее в песочнице приложение к:

• Соединитесь с системными методами ввода

• Вызовите службы, выбранные пользователем из меню Services (только те службы, отмеченные как «безопасные» поставщиком услуг, доступны поигравшему в песочнице приложению),

• Открытые файлы, выбранные пользователем из меню Open Recent

• Участвуйте с другими приложениями посредством вызванной пользователями копии и вставки

• Считайте файлы, которые являются читаемым миром, в определенных каталогах, включая следующие каталоги:

  • / стеллаж

  • /sbin

  • /usr/bin

  • /usr/lib

  • /usr/sbin

  • /usr/share

  • / Система

• Считайте и запишите файлы в каталогах, создаваемых путем вызова NSTemporaryDirectory.

После того, как пользователь указал файл, который они хотят использовать, тот файл в песочнице Вашего приложения. Если Ваше приложение используется вредоносным кодом, файл тогда уязвим для атаки: Тестовая среда приложения не обеспечивает защиты. Для обеспечивания защиты для файлов в песочнице следуйте рекомендациям в Безопасном Руководстве по Кодированию.

По умолчанию файлы открыли или сохранили пользователем, остаются в Вашей песочнице, пока Ваше приложение не завершается, за исключением файлов, которые были открыты в то время, когда завершается Ваше приложение. Такие файлы вновь открывают автоматически посредством функции OS X Resume в следующий раз Ваши запуски приложения и автоматически добавляются назад к песочнице Вашего приложения.

Обеспечить персистентный доступ к ресурсам расположилось за пределами Вашего контейнера в пути, не зависящем от Резюме, использующем ограниченные по объему безопасностью закладки, как объяснено в Ограниченных по объему безопасностью Закладках и Персистентном Доступе Ресурса.

Связанные элементы

Связанная функция элементов Тестовой среды приложения позволяет Вашим файлам доступа к приложениям, имеющим то же имя как выбранный пользователями файл, но различное расширение. Эта функция состоит из двух частей: список связанных расширений в приложении Info.plist файл и код для сообщения песочницы, что Вы делаете.

Существует два общих сценария, где это целесообразно:

• Сценарий 1:

  Ваше приложение должно быть в состоянии сохранить файл с различным расширением, чем тот из исходного файла. Например, когда Вы вставляете изображение в файл RTF в TextEdit и сохраняете его, TextEdit изменяет расширение файла от .rtf к .rtfd (и это становится каталогом).

  Для обработки этой ситуации необходимо использовать NSFileCoordinator возразите для координирования доступа к файлу. Перед переименованием файла вызовите itemAtURL:willMoveToURL: метод. После переименования файла вызовите itemAtURL:didMoveToURL: метод.

• Сценарий 2:

  Ваше приложение должно быть в состоянии открыть или сохранить многократные связанные файлы с тем же именем и различными расширениями (например, автоматически открыть файл подзаголовка с тем же именем как файл ролика или допускать файл журнала SQLite).

  Для получения доступа к тому вторичному файлу создайте класс, соответствующий NSFilePresenter протокол. Этот объект должен обеспечить URL основного файла как primaryPresentedItemURL свойство, и должно обеспечить URL вторичного файла как presentedItemURL свойство.

  После того, как пользователь открывает основной файл, Ваш объект предъявителя файла должен вызвать addFilePresenter: метод класса для NSFileCoordinator класс для регистрации себя.

В обоих сценариях необходимо сделать мелочь приложения Info.plist файл. Ваше приложение должно уже объявить Типы документов (CFBundleDocumentTypes) массив, объявляющий типы файлов Ваше приложение, может открыться.

Для каждого словаря типа файла в том массиве, если тот тип файла должен быть обработан как потенциально связанный тип для открытого и сохранить цели, добавляет ключ NSIsRelatedItemType с булевым значением YES.

Для узнавания больше о предъявителях файла и координаторах файла считайте Руководство по программированию Файловой системы.

Откройте и сохраните диалоговое поведение с тестовой средой приложения

Бесспорный NSOpenPanel и NSSavePanel когда Тестовая среда приложения включена для Вашего приложения, методы ведут себя по-другому:

• Вы не можете вызвать кнопку OK с помощью ok: метод.

• Вы не можете переписать выбор пользователя с помощью panel:userEnteredFilename:confirmed: метод от NSOpenSavePanelDelegate протокол.

Кроме того, эффективный, путь наследования во время выполнения для NSOpenPanel и NSSavePanel классы отличаются с Тестовой средой приложения, как проиллюстрировано в Таблице 2-2.

Из-за этого различия во время выполнения, NSOpenPanel или NSSavePanel объект наследовал меньше методов с Тестовой средой приложения. При попытке отправить сообщение в NSOpenPanel или NSSavePanel объект и тот метод определяются в NSPanel, NSWindow, или NSResponder классы, система повышает исключение. Компилятор XCode не выпускает предупреждение или ошибку предупредить Вас к этому поведению во время выполнения.

Два отличных типа ограниченной по объему безопасностью закладки

Ограниченные по объему безопасностью закладки, доступный запуск в OS X v10.7.3, поддерживают два отличных варианта использования:

• Ограниченная по объему приложением закладка предоставляет Вашему поигравшему в песочнице приложению персистентный доступ к указанному пользователями файлу или папке.

  Например, если Ваше приложение использует папку загрузки или обработки, которая является за пределами контейнера приложения, получите начальный доступ путем представления NSOpenPanel диалоговое окно для получения намерения пользователя использовать определенную папку. Затем создайте ограниченную по объему приложением закладку для той папки и сохраните ее как часть конфигурации приложения (возможно, в файле списка свойств или использовании NSUserDefaults класс). С ограниченной по объему приложением закладкой Ваше приложение может получить будущий доступ к папке.

• Ограниченная по объему документом закладка предоставляет определенному документу персистентный доступ к файлу.

  Например, приложение редактирования видео обычно поддерживает понятие документа проекта, который относится к другим файлам и нужен в персистентном доступе к тем файлам. Такой документ проекта может сохранить ограниченные по объему безопасностью закладки к файлам, к которым он относится.

  Получите начальный доступ к отнесенному элементу путем выяснения пользовательское намерение использовать тот элемент. Затем создайте ограниченную по объему документом закладку для элемента и сохраните закладку как часть данных документа.

  Ограниченная по объему документом закладка может быть разрешена любым приложением, имеющим доступ к самим данным закладки и к документу, которому принадлежит закладка. Это поддерживает мобильность, позволяя пользователю, например, отправить документ другому пользователю; безопасные закладки документа остаются применимыми для получателя. Документ может быть единственным плоским файлом или пакетом, содержащим многократные файлы.

  Ограниченная по объему документом закладка может указать только на файл, не папку, и только на файл, который не находится в расположении, используемом системой (такой как /private или /Library).

Используя ограниченные по объему безопасностью закладки

Использовать любой тип ограниченной по объему безопасностью закладки требует, чтобы Вы выполнили пять шагов:

1. Установите надлежащее право в цели, которая должна использовать ограниченные по объему безопасностью закладки.

   Сделайте это один раз на цель как часть конфигурирования Вашего проекта XCode.

2. Создайте ограниченную по объему безопасностью закладку.

   Сделайте это, когда пользователь указал намерение (такой как через Блок питания) для использования ресурса файловой системы за пределами контейнера приложения, и Вы хотите сохранить возможность своего приложения получить доступ к ресурсу.

3. Разрешите ограниченную по объему безопасностью закладку.

   Сделайте это, когда для Вашего приложения позже (например, после перезапуска приложения) нужен доступ к ресурсу, Вы отметили на шаге 2. Результатом этого шага является ограниченный по объему безопасностью URL.

4. Явно укажите, что Вы хотите использовать ресурс файловой системы, URL которого Вы получили на шаге 3.

   Сделайте это сразу после получения ограниченного по объему безопасностью URL (или, когда Вы позже захотите возвратить доступ к ресурсу, оставив Ваш доступ к нему).

5. Сделано с помощью ресурса, явно укажите, что Вы хотите прекратить использовать его.

   Сделайте это, как только Вы знаете, что Вам больше не нужен доступ к ресурсу (обычно после закрытия его).

   После отказа от доступа к ресурсу файловой системы для использования того ресурса снова необходимо возвратиться к шагу 4 (чтобы снова указать, что Вы хотите использовать ресурс).

   Если Ваше приложение повторно запускается, необходимо возвратиться к шагу 3 (для разрешения ограниченной по объему безопасностью закладки).

Первый шаг в предыдущем списке, запрашивая права, является предпосылкой для использования любого типа ограниченной по объему безопасностью закладки. Выполните этот шаг следующим образом:

• Для использования ограниченных по объему приложением закладок в цели установите com.apple.security.files.bookmarks.app-scope дающее право значение к true.

• Для использования ограниченных по объему документом закладок в цели установите com.apple.security.files.bookmarks.document-scope дающее право значение к true.

Можно запросить или или оба из этих прав в цели по мере необходимости. Эти права являются доступным запуском в OS X v10.7.3 и описаны во Включении Ограниченной по объему безопасностью Закладки и Доступа через URL.

С надлежащими правами можно создать ограниченную по объему безопасностью закладку путем вызова bookmarkDataWithOptions:includingResourceValuesForKeys:relativeToURL:error: метод NSURL класс.

Когда Вы позже нуждаетесь в доступе к отмеченному ресурсу, разрешаете его ограниченную по объему безопасностью закладку путем вызова URLByResolvingBookmarkData:options:relativeToURL:bookmarkDataIsStale:error: метод NSURL класс.

В поигравшем в песочнице приложении Вы не можете получить доступ к ресурсу файловой системы, на который ограниченный по объему безопасностью URL указывает на то, пока Вы не вызываете startAccessingSecurityScopedResource метод на URL.

Когда Вам больше не нужен доступ к ресурсу, что Вы получили объем безопасности использования (обычно после закрытия ресурса), необходимо вызвать stopAccessingSecurityScopedResource метод на URL ресурса.

Вызовы, чтобы запуститься и остановить доступ не вкладываются. Когда Вы вызываете stopAccessingSecurityScopedResource метод, Вы сразу теряете доступ к ресурсу. При вызове этого метода на URL, к ресурсу, на который ссылаются которого, у Вас нет доступа, ничто не происходит.

Для подробных описаний методов константы и права для использования для реализации ограниченных по объему безопасностью закладок в приложении, читают Ссылку класса NSURL и читают Включающую Ограниченную по объему безопасностью Закладку и Доступ через URL в Дающей право Ключевой Ссылке.

XPC Services

XPC является технологией межпроцессного взаимодействия OS X что Тестовая среда приложения дополнений путем включения разделения полномочия. Разделение полномочия, в свою очередь, стратегия развития, в которой Вы делите приложение на части согласно доступу системного ресурса, в котором нуждается каждая часть. Части компонента, которые Вы создаете, вызывают службами XPC.

Вы создаете службу XPC как отдельную цель в Вашем проекте XCode. Каждая служба получает свою собственную песочницу — в частности, это получает свой собственный контейнер и свой собственный набор прав.

Кроме того, служба XPC, которую Вы включаете со своим приложением, доступна только Вашим приложением. Эти преимущества составляют в целом создание XPC лучшая технология для реализации разделения полномочия в приложении OS X.

В отличие от этого, дочерний процесс, создаваемый при помощи posix_spawn функция, путем вызова fork и exec (обескураженный), или при помощи NSTask класс просто наследовал песочницу процесса, создавшего его. Вы не можете сконфигурировать права дочернего процесса. По этим причинам дочерние процессы не обеспечивают эффективное разделение полномочия.

Использовать XPC с Тестовой средой приложения:

• Присудите минимальные полномочия к каждой службе XPC, согласно ее потребностям.

• Разработайте передачу данных между главным приложением и каждой службой XPC, чтобы быть безопасными.

• Структурируйте пакет своего приложения соответственно.

Жизненным циклом службы XPC и ее интеграцией с Grand Central Dispatch (GCD), управляет полностью система. Для получения этой поддержки необходимо только структурировать пакет приложения правильно.

Для больше на XPC, посмотрите Creating XPC Services в Руководстве по программированию Демонов и Служб.

Запускающиеся помощники с запускают услуги

Если по крайней мере одному из этих условий удовлетворили, поигравшему в песочнице приложению позволяют запустить использование помощника Launch Services:

• И приложение и помощник передают оценку Привратника. По умолчанию это означает, что оба подписываются App Store Mac или с Разработчиком ID.

• Приложение установлено в /Applications и комплект приложений и все содержание принадлежат корню.

• Помощник был (вручную) выполнен, по крайней мере, один раз пользователем.

Если ни одному из этих условий не удовлетворили, Вы будете видеть ошибки как следующее:

• «Не позволяя процессу 19920 запускать '/Applications/Main.app/Contents/Resources/Helper.app', потому что был отклонен вердикт оценки безопасности».

  Это сообщение означает, что была отклонена оценка Привратника. Можно подтвердить это с spctl инструмент следующим образом:

  $ spctl --assess -vvvv /Applications/Main.app/

  /Applications/Main.app/: rejected

  origin=Mac Developer: Developer Name

  $ spctl --assess -vvvv /Applications/Main.app/Contents/Resources/Helper.app/

  /Applications/Main.app/Contents/Resources/Helper.app/: rejected

  origin=Mac Developer: Developer Name

• «Приложение «Помощник» не могло быть запущено, потому что это повреждено».

  «Работа не могла быть завершена. (Ошибка OSStatus-10827.)»

  Это - типичная ошибка, если ни одно из вышеупомянутых условий не было выполнено.

Результатами является то же, используете ли Вы Launch Services непосредственно (путем вызова LSOpenCFURLRef, например) или косвенно (путем вызова launchApplicationAtURL:options:configuration:error: метод в NSWorkspace, например).

Кроме того, на отказ, в OS X v10.7.5 и ранее, Вы будете также видеть поддельное deny file-write-data /Applications/Main.app/Contents/Resources/Helper.app нарушение песочницы. Эта ошибка не оказывает функционального влияния и может быть проигнорирована.