<table><tr><td style="">fvogt added a comment.
</td><a style="text-decoration: none; padding: 4px 8px; margin: 0 8px 8px; float: right; color: #464C5C; font-weight: bold; border-radius: 3px; background-color: #F7F7F9; background-image: linear-gradient(to bottom,#fff,#f1f0f1); display: inline-block; border: 1px solid rgba(71,87,120,.2);" href="https://phabricator.kde.org/D8532">View Revision</a></tr></table><br /><div><div><p>AFAICT this won't actually protect much - the open DBus socket is enough to execute arbitrary programs.</p>

<p>The best design would be (IMO, not sure how well the current architecture fits) to have a fully sandboxed executable which can only communicate with baloo over a single socket.<br />
Over that socket it receives a (read-only) file descriptor for the to be dissected file and then sends the result to baloo.</p></div></div><br /><div><strong>REPOSITORY</strong><div><div>R293 Baloo</div></div></div><br /><div><strong>REVISION DETAIL</strong><div><a href="https://phabricator.kde.org/D8532">https://phabricator.kde.org/D8532</a></div></div><br /><div><strong>To: </strong>davidk, apol, ossi, Frameworks, smithjd, bruns<br /><strong>Cc: </strong>fvogt, mgallien, kde-frameworks-devel, michaelh, Baloo, detlefe, ngraham, nicolasfella, ashaposhnikov, astippich, spoorun, bruns, abrahams<br /></div>