Gary, Yioyos, Martin,<br><br>The trick is to prevent circumstantially malicious co-Activities from doing harm, without at the same time preventing cooperation between functional blocks essential to the satisfaction of user needs.<br>
<br>I ran into this issue, when I was writing my python debugger "PyDebug".  I chose to write a monolithic set of function which incorporated Browse, Terminal, Pippy, etc. And since we are all essentially individual developers, this may still be the best approach.  (modifying multiple cooperating programs, testing and releasing seems larger than a one person task).<br>
<br>That said, I believe there should be a method whereby cooperating Activities can share their I/O resources, under proper OS supervision.  One mechanism might be for the OS to open a socket, provided that both have declared their willingness to connect with the other in their "<a href="http://permissions.info">permissions.info</a>" file.  I used this method successfully when I wanted the debugging process to communicate back to the parent the line number where an exception occurred.  Applied to the multiple Activity situation, each process could expose a single interface object to the other, with appropriate trapping/checking (I used the rpyc package).<br>
<br>I share DSD's concern about the problem of the Journal and the list view of the home page being confusingly similar, and would like the solution to make library content visible on the home page.  But perhaps one issue at a time.<br>
<br>George<br><br><div class="gmail_quote">On Sat, Jul 24, 2010 at 2:48 AM, Michael Stone <span dir="ltr"><<a href="mailto:michael@laptop.org">michael@laptop.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Gary, Yioryos,<br>
<br>
Here are a couple of thoughts for you on isolation issues. (I have thoughts on<br>
the Journal issues too but I'll save them for another occasion.)<br>
<div class="im"><br>
>> Step 3 is to introduce marks (hyperlinks?) in Read and Write where hovering<br>
>> over you get the tag opened to tell you what is about, and clicking transposes<br>
>> you to the relevant book/app-mark<br>
><br>
> As noted already this would seem to break Sugars's security model, activities<br>
> need to be sand-boxed from each other, one activity is not allowed to resume<br>
> another. Yea, back to Journal, again! ;)<br>
<br>
</div>Let's think about this a bit more deeply. As I see it:<br>
<br>
The key idea that Bitfrost offers is that system software needs to make it easy<br>
for the authors of benign apps to protect human interests. (A number of useful<br>
features are then proposed toward this end.)<br>
<br>
The key idea that Rainbow offers is that accounts are a good device for<br>
isolating processes.<br>
<br>
Within this problem domain, the key idea of Sugar is that people engage in<br>
fairly discrete sessions of activity which may be started, stopped, resumed,<br>
and isolated from one another.<br>
<br>
Significant isolation is possible because data rarely needs to move from<br>
session to another and, when it does, the motion may be orchestrated through a<br>
supervisor.<br>
<br>
Note, however, that the idea is that it doesn't matter much what actual<br>
processes run within a given session or whether there are many windows or one,<br>
many documents or none, many hosts contacted or none, etc.<br>
<br>
Indeed, we shouldn't worry so much about whether Browse invokes Read in order<br>
to render a downloaded PDF or whether Chat invokes Browse when the human<br>
operator clicks on a hyperlink -- Browse already had complete control over the<br>
contents and distribution of the PDF and Chat already had complete control over<br>
the text of the URI that Browse will see.<br>
<br>
Instead, what does matter is the ability to control what happens *when* Browse<br>
or Chat or Read becomes circumstantially malicious. What matters then is the<br>
ability of the human operator and the system supporting them to manage the<br>
mappings of I/O resources to sessions -- that is, crudely, of the "start new"<br>
vs. "resume" problem. :)<br>
<br>
Thoughts?<br>
<br>
Regards,<br>
<font color="#888888"><br>
Michael<br>
</font><div><div></div><div class="h5">_______________________________________________<br>
support-gang mailing list<br>
<a href="mailto:support-gang@lists.laptop.org">support-gang@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/support-gang" target="_blank">http://lists.laptop.org/listinfo/support-gang</a><br>
</div></div></blockquote></div><br>