应用设置中对外界硬盘的强制控制访问无效

GavinPoon

BUG现象：我在设置中更改"应用设置"中的“允许访问以下文件夹”中并没有设置允许外接硬盘，但是应用可读写，需要手动设置apparmor规则

出现频率：必现

联系方式：bezels-muscle-1@icloud.com

GavinPoon

你们的论坛网页也有bug，markdown模式下cmd+z会自动发送，发送了还不能删除。

飞牛技术同学

麻烦补充更详细的信息和具体表现的图片我们看看

GavinPoon

[quote][size=2][url=forum.php?mod=redirect&goto=findpost&pid=169165&ptid=35802][color=#999999]飞牛技术同学 发表于 2025-9-4 17:32[/color][/url][/size] 麻烦补充更详细的信息和具体表现的图片我们看看[/quote]

GavinPoon

飞牛技术同学 发表于 2025-9-4 17:32
麻烦补充更详细的信息和具体表现的图片我们看看

上图即使显示只读，也仍然能够写入。你们的设计不满足一致性的，不能直接用apparmor进行路径约束或selinux进行标签约束吗？更安全的话，你们可以把你们的app直接封装进daemonless容器（podman）通过cgroup制造沙盒吧，需要什么路径就映射进去。

GavinPoon

我逆向了一下你们的实现，居然是简单地用acl来控制访问权。你们是直接没有搞明白acl和mac的正交性。

这也是bug的来源：acl并非递归执行，导致不同层级的路径下rw的不同带来不一致性。
这还产生额外的问题：不同app不能有不同的rw权限

这里更核心的问题是，文件是否能被某app访问根本不应该由修改meta data进行的：这是app的权限问题，不是文件的问题

能让你们这部份的负责人和我联系吗？如果设计本身就是不一致，就只会越来越多bug。