AppContainer完整性水平

Question

目前，我正试图理解用于沙箱化AppContainer应用程序的WinRT背后的机制。我已经了解到，AppContainers有自己的完整性级别，可以阻止任何对具有较高完整性级别的资产进行读写的尝试。但是为什么那些应用程序不能访问在同一个完整性级别上运行的其他应用程序的数据呢？

当应用程序获得相应的功能时，对对象的访问是如何工作的？例如，我假设相机没有被标记为"appcontainer“完整性级别。因此，应用程序对它的任何访问都应该被直接阻止。但它可以宣布相机的能力和应用程序将能够访问相机。这怎麽可能？SID中所表示的功能能以某种方式“扩展”应用程序的完整性水平吗？

提前感谢！

Answer 1

但它可以宣布相机的能力和应用程序将能够访问相机。这怎麽可能？SID中所表示的功能能以某种方式“扩展”应用程序的完整性水平吗？

根据博客Windows 8应用程序容器安全备注-第1部分。有2组SID常量:常量和Capability SID常量。这些定义了结果SID是否具有诸如Internet客户端、服务器(或两者兼具)、对图片、音乐、文档、共享证书或可移动存储的访问等功能。