Здравствуйте, ononim, Вы писали:

O>Он отлично защищает от малвари от которой задуман защищать,
Пока что этого не видно.
O>а вы все так же банальным утрированием пытаетесь все свести к абсурду.
Я пытаюсь проверить граничные случаи. А вы похоже вообще ни один из реальных сценариев не продумали от начала и до конца.

O>Создатель приложения должен будет квалифицировать возможность применения информации, сгенеренной его приложением. Опять же опустимся к DACL'ам. В юниксах любят троицу owner/group/world. У нас в принципе выделяется троица домен создателя информации, домен пользователя которому она придет, и — все остальные.
А что, у всех пользователей есть свои домены? У меня, к примеру, нету.

O>Соответственно в первом приближении если создатель приложения разрешил 'миру' читать его информацию — ты сможешь ее передать куда угодно. Если нет — никуда не передашь.
В этом приближении задача неразрешима. Потому что "куда угодно" — это, в частности, злоумышленнику, который сдаёт билет и получает деньги. (В более реалистичном случае, возможном прямо сейчас, он сдаёт билет не для денег, а чтобы освободить место на нужный ему рейс).
А "никуда не передашь" означает принципиальную невозможность добавить вылет в расписание.

O>Во втором приближении появляются группы, и создатель может выдать разрешение определенным группам, в которые возможно и попадет сайт аэрофлота в будущем, если он того пожелает и если это заапрувит certificate authrity. А может и нет — ну, никтож не обещал утопию.
Это не утопия, это минимально необходимый уровень сервиса. Получается, что у вас всё построено на группах.
Значит, надо их архитектуру проработать как-то более тщательно. Ну и оценить всё же накладные расходы.