同じシステム上の2つのアプリケーション間の安全な通信

これらはコンピュータセキュリティの黄金律です。「システム管理者特権を持つ有能なユーザーから何かを隠すことは不可能です」と「デバイスに物理的にアクセスできる有能なユーザーは常にシステム管理者に昇格できます」。

マシンを物理的に制御しているユーザーから情報を隠すことはできません。非表示にしようとしているシークレットが本当に重要な場合は、データをマシンに転送せず、自分が制御する場所のどこかで処理を行うべきではありません。

プログラムがユーザーのマシンで実行されています。ユーザーからデータを保護することはできません。それを念頭に置いて、これは私たちが運命にあることを意味しますか？必ずしも。オペレーティングシステムは、プログラムが別のプログラムとプライベートに通信するための豊富なメカニズムを提供します。これにより、別の非特権アプリケーションがプログラムを傍受することはできません。したがって、ユーザー自身からデータを保護することはできませんが、別の非特権プログラムからデータを保護することができます。非特権プログラム間にセキュリティ境界を提供することは、オペレーティングシステムの主な仕事の1つです。

最も単純なのは、匿名のパイプです。パイプを使用すると、プログラム間でデータの単方向ストリームを転送できます。匿名パイプは、Windows、Linux、OSX、およびすべてのUnixライクなシステムで使用できます。親プロセスがその子との間でデータのストリームを送受信できるようにするstdinとstdoutと呼ばれるパイプのペアとして最も一般的に認識される匿名パイプ。匿名パイプは、親子関係を持つプロセス間でのみ使用できます。名前付きパイプもありますが、WindowsとLinux/Unixのようなシステムでは動作が異なります。これについては後で説明します。

別のIPCは、一般的に利用可能なソケットです。ソケットは双方向パイプのようなものです。多くの異なるソケットがありますが、それらは同様に機能します。最も一般的に知られているのはTCPソケット。TCPソケットは、主にマシン間のネットワーク用ですが、ループバックを作成することもできますTCPソケットは、同じマシン内でのみ使用できます。ループバックソケットはプライバシーを提供します（接続するプログラムとリッスンするプログラムのみがソケットを通過するデータを読み取ることができます）が、ソケットの反対側になることができるユーザーを制限するメカニズムは実際には提供しません。

同じマシン内のプロセス間の通信にUnixで使用できるもう1つのタイプのソケットは、Unixドメインソケットです。 Unixドメインソケットは、ファイルシステムの「特別なファイル」としてプログラムに公開され、UNIXファイルシステムのアクセス許可は、ソケットへのアクセスを制御するために使用されます。ドメインソケットは、ソケットファイルにアクセスするための適切なアクセス許可を持たないプログラムからは接続できません。 Unixライクなシステムでは、これは、サービスとGUIがプログラム専用に予約されている同じユーザーまたはグループとして実行され、ソケットファイルのアクセス許可を適切に設定することを意味します。

名前付きパイプに戻りましょう。 Linux/Unixのようなシステムでは、名前付きパイプは一方向であるという点でstdin/stdoutによく似ています。ただし、Windowsでは、名前付きパイプは実際には双方向であり、WindowsのUnixドメインソケットとほぼ同じです。 Windowsの多くの機能と同様に、名前付きパイプはACLで保護されています。

IOSでは物事は少し毛むくじゃらになります。ジェイルブレイクされていないiOSでは、プロセス間通信のvery限定セットのみが許可され、どちらもソケットを提供しません。しかし、iOSのアプリケーションでは、サービスプログラムとGUIプログラムはおそらく実際には同じアプリケーションになるため、アプリケーションの異なるコンポーネント間に直接ストリームを作成できます。ストリームはアプリケーション内でのみアクセスできるため、これも安全です。

Androidでは、ドメインソケットを作成する機能など、IPCのオプションが増えています。 APIは異なりますが、通常のLinuxと概念的には同じです。または、iOSの場合と同じ方法でサービスとGUIを同じアプリケーションにパッケージ化し、インプロセスストリームを使用することもできます。