Следует также отметить, что Mac OS X Lion предоставляет метод песочницы, который они поощряют использовать, и будет принудительно использовать в приложениях, доступных через App Store. Есть места, где можно получить более подробное описание, например, замечательный обзор Джона Сиракузы об Ars Technica (или его расширенное обсуждение этого вопроса о гиперкритическом подкасте), но в целом он работает на идее разделения привилегий. Каждый процесс запрашивает доступ к нужным привилегиям (например, чтение из файловой системы или запись в сетевой сокет). Затем программа делится на несколько процессов, каждый из которых использует только небольшое количество привилегий, поэтому, если один процесс будет скомпрометирован, у него не будет достаточно привилегий для нанесения серьезного ущерба. Обязательно посмотрите более подробное описание, это довольно интересная функция безопасности.