微软这个库，是不是应用隔离它来了，再也不怕扫盘了？

隔离

不怕

微软

应用

27 条回复 • 2023-05-26 16:52:27 +08:00

1

yulon

2023-05-25 06:35:30 +08:00

现在扫盘都是用的驱动吧，驱动是内核模块不是 Win32 程序

2

nothingistrue

2023-05-25 09:31:59 +08:00

The first step to isolating your application is to package it to run isolated by following the instructions here.

这是让应用主动隔离自己（以保护自己的数据不被其他地方读写）的，可不是让用户隔离应用的，你想多了。大概率是把以前的 UWP 沙盒机制往 Win32 上移植。

3

hahastudio

2023-05-25 09:38:46 +08:00

Win32 app isolation is a new security feature on Windows that helps contain the damage and safeguard user privacy choices in the event of an application compromise.
第一行就说了这个 repository 是干啥的了

4

ladypxy

2023-05-25 09:48:38 +08:00

看了眼这东西的文档，这不就是和 Vmware Thinapp 用的一模一样的方法么。创建一个虚拟环境让 app 跑。还需要自己给 app 打包。。

5

iX8NEGGn

OP

2023-05-25 09:57:01 +08:00 via iPhone

@nothingistrue
@hahastudio 啥意思，我没明白，我看到的是对二进制安装程序进行二次打包，而不是源代码进行打包，难道我理解错了？

6

iX8NEGGn

OP

2023-05-25 10:00:58 +08:00 via iPhone

@ladypxy 毕竟是系统底层支持，兼容性可能比 thinapp 好吧，之前试用过 thinapp 好多软件打包不成功

7

hahastudio

2023-05-25 10:39:31 +08:00

@iX8NEGGn 如果你担心的是扫盘，要么需要你觉得会做全盘扫描的应用自己做隔离（这怎么可能），要么是存放你觉得是敏感信息的应用自己做隔离（这个可以期待）
啊，我懂了，你是在想可不可能自己主动出击，给你觉得危险的应用打包，看过程好像可以欸

8

nothingistrue

2023-05-25 13:41:12 +08:00

@iX8NEGGn #5 对啥打包没啥种别，重要的是谁打包，这是要应用开发者给自己的应用打包的。

9

iX8NEGGn

OP

2023-05-25 16:02:35 +08:00 via iPhone

1

@nothingistrue 然而，并不是，你引用的那句话里的“here”链接，你甚至都没有点进去看，并且从之前介绍的视频（ https://m.youtube.com/watch?v=8T6ClX-y2AE ）来看，该功能也是更偏向于保护用户安装不受信任的软件，而不是让开发者让自己的软件不受侵害

10

nothingistrue

2023-05-25 17:05:26 +08:00

@iX8NEGGn #9 已经明明白白说清楚的一句话，点进去看详情会有和不同。

点进去看了也确实没有不同，你仔细看看打包步骤，Win32 -> MSIX 这一个步骤，提供的 exe ，是开发者自己的 exe ，不是用户下载的别人的 exe 。

11

wallriding

2023-05-25 17:11:08 +08:00

@nothingistrue

> Win32 -> MSIX 这一个步骤，提供的 exe ，是开发者自己的 exe ，不是用户下载的别人的 exe 。

为什么不能是“用户下载的别人的 exe ”？

12

iX8NEGGn

OP

2023-05-25 17:12:22 +08:00 via iPhone

@nothingistrue 关键是用户可以直接打包别人的应用，不是只有开发者可以打包，之后可能直接一个右键菜单完全全部步骤

13

nothingistrue

2023-05-25 17:17:36 +08:00

@iX8NEGGn #12 你去试一下吧，铁定不行的。如果行，那早晚要被修复成不行，不然微软要被告到裤衩都不剩。

14

oldshensheep

2023-05-25 17:27:29 +08:00

@nothingistrue 其实是可以的，你自己下载试试就知道了，可以打包别人开发的应用。

15

ljsh093

2023-05-25 17:33:08 +08:00

所以是类似沙盒那种机制？摸鱼看不了视频

16

lichdkimba

2023-05-25 17:36:22 +08:00

win32 都快被 electron 一统江湖了

17

dingwen07

2023-05-25 17:38:10 +08:00 via iPhone

我现在都是 hyperv+remote app

18

iX8NEGGn

OP

2023-05-25 17:39:22 +08:00 via iPhone

@nothingistrue 可以打包的，我跑起来后才发的分享，微软想隔离应用但又不能一刀切，只能出此下策，“打包”转换成 MSIX ，本质上就是基于已有隔离方案的探测权限和配置权限的过程而已，并不会侵害开发者的权益

19

wipbssl

2023-05-25 17:53:59 +08:00

2

我打了个 sumatra pdf 的包，可以限制程序读取非用户文件夹了。可以看到文件但是不能读取。

20

des

2023-05-25 18:32:40 +08:00 via iPhone

早就应该有的东西，这都晚了好久了

21

Damn

2023-05-25 20:05:47 +08:00

@nothingistrue "重要的是谁打包，这是要应用开发者给自己的应用打包的。"
----------------------------
又不是从源代码编译成 binary ，这一步为什么就不能是用户自己来操作呢？

22

DTCPSS

2023-05-25 20:29:41 +08:00

我给企业微信打了个包，可以正常用，就是请求文件读取权限太频繁了，一打开软件就是十几个请求弹窗。

23

DTCPSS

2023-05-25 20:30:55 +08:00

一会要 C:\ 权限一会要 ~ 的，太哈人了

24

iX8NEGGn

OP

2023-05-25 20:44:43 +08:00 via iPhone

@DTCPSS 以微信的作风，就怕之后提示：“监测到环境异常”，闪退

25

DTCPSS

2023-05-25 21:02:50 +08:00

@iX8NEGGn
隔离状态下企业微信会显示 “电脑空间不足”，应该是没有随地创建读取文件的权限的缘故

26

nothingistrue

2023-05-25 21:59:39 +08:00

@iX8NEGGn #18 通常的软件安装包，基本上就是个压缩包，所以技术上来说，目前的方式，开发者再打包跟用户再打包没有区别。但只要流行起来，微软出于法律风险考虑就会主动封禁这种打包方式。虽然微软很擅长和稀泥，一般都会留下“漏洞”，但是流氓程序可以不用微软出手自己就能搞定——改一下安装包的封包方式让你没法再打包即可。还是期待太高的好。

@Damn #21 用户也没有程序的所有权，在所有权上，程序和源代码没有区别。

27

Damn

2023-05-26 16:52:27 +08:00

@nothingistrue 决定这么做的用户在意这点的比例有多高呢？