Судя по рассылке QubeOS, я так понял что у них даже memory deduplication выключен: groups.google.com/forum/#!msg/qubes-devel/tfMk_g7Y1tQ/iSLQ2jNyZH8J. А значит оверхэд получается очень даже приличным. Хотя вообще про QubeOS мало что могу сказать, но как концепт она гораздо более стройнее и привлекательнее и разрабатывают её люди с неплохим бэкграундом в области безопасности.
Что мне в QubeOS и подобных дистрибутивах не очень нравится — так это то, что это полностью отдельный дистрибутив со своей экосистемой, а значит многие плюсы популярных систем вроде Debian сводятся на нет. Мне ближе по душе использование в родном дистрибутивы средств изоляции, которые достаточно надёжны для большинства задач: отдельные пользователи, отдельные иксы, MAC, контейнеры и т.д.
Про OpenGL, честно говоря, ещё не думал, но вот судя по тому, что в Xephyr поддерживается акселлерация и пробросить иксы с акселлерацией внутрь контейнера возможно, в принципе проблема решаема.
Хотя я, честно говоря, в последнее время больше смотрю в сторону использования отдельной машины для небезопасных и/или сложно изолируемых приложений. Заодно там и Windows можно второй системой для некоторых приложений. Получается и проще, и безопаснее.
Мой вариант: github.com/Kagami/kagome
Пока в статусе proof of concept, но планирую допиливать. Если, конечно, что-то более интересное не появится.
Так-то подобных проектов много (особенно тема стала популярна с развитием легковесных контейнеров): sandstorm.io/, coreos.com/, qubes-os.org/ от Рутковской, наконец.
А вот и прямое подтверждение: blog.jquery.com/2014/09/23/was-jquery-com-compromised/
Пишут что сама библиотека не была скомпрометирована, но обычно такие новости заставляют сильно задуматься, стоит ли загружать скрипты на своих сайтах непонятно откуда.
Что мне в QubeOS и подобных дистрибутивах не очень нравится — так это то, что это полностью отдельный дистрибутив со своей экосистемой, а значит многие плюсы популярных систем вроде Debian сводятся на нет. Мне ближе по душе использование в родном дистрибутивы средств изоляции, которые достаточно надёжны для большинства задач: отдельные пользователи, отдельные иксы, MAC, контейнеры и т.д.
Про OpenGL, честно говоря, ещё не думал, но вот судя по тому, что в Xephyr поддерживается акселлерация и пробросить иксы с акселлерацией внутрь контейнера возможно, в принципе проблема решаема.
Хотя я, честно говоря, в последнее время больше смотрю в сторону использования отдельной машины для небезопасных и/или сложно изолируемых приложений. Заодно там и Windows можно второй системой для некоторых приложений. Получается и проще, и безопаснее.
Пока в статусе proof of concept, но планирую допиливать. Если, конечно, что-то более интересное не появится.
Так-то подобных проектов много (особенно тема стала популярна с развитием легковесных контейнеров): sandstorm.io/, coreos.com/, qubes-os.org/ от Рутковской, наконец.
Пишут что сама библиотека не была скомпрометирована, но обычно такие новости заставляют сильно задуматься, стоит ли загружать скрипты на своих сайтах непонятно откуда.