Мы показали, что такая простая модель программы как работа текстового редактора с простым документом, нуждающаяся в предоставлении или отказе системой запрошенного доступа, поддерживается не достаточно хорошо. На рисунке 2 мы видим то, что файл может быть внутренне разбит на множество объектов и даже содержать выполняемый код, интерпретируемый приложением. Другим примером может служить комплексная структура HTML-документа, содержащего аплеты Java или объекты ActiveX.
Вызов защите бросает то, что каждый из объектов этого файла может обладать различными требованиями к защите, но нет никакой возможности использовать защиту этих объектов без помощи со стороны самих программ.
Для примера позвольте использовать отчет, написанный Фредом. Главный документ содержит введение и общую информацию о его компании. Аналитиком в главный документ внедрен еще один, содержащий важную финансовую информацию. Он хочет оставить возможность другим служащим читать основной документ, одновременно ограничив доступ к ценной информации во внедренном .
Проблема, с точки зрения защиты, состоит в том, что управление доступом в файловой системе не распространяется на документы, содержащиеся внутри файла. Атрибуты доступа файла, унаследованные документами, не обязательно совпадают. Для получения хотя бы одного документа, содержащегося внутри файла, пользователю необходим доступ ко всему документу. В частности, приложения часто сохраняют выполняемый код документа в пределах файла, который выполняется практически вне прямого управления операционной системы.
Аналогичная проблема существует со многими документами HTML. Документ содержит много ссылок к другим документам, таким как изображения и выполняемый код. Обычно, такой код выполняется в пределах виртуальной машины, например, Java, или настоящей, например ActiveX.
Активному содержимому HTML-страниц уделено больше внимания, чем было уделено активному содержимому в обычных документах. Sun проделала большую работу для защиты пользователя от злонамеренных Java аплетов, согласившись в конечном счете, что эту проблему решить невозможно. Microsoft по крайней мере обозначил проблему, хотя и не достаточно, предоставив метод аутентификации объектов ActiveX при помощи сертификатов. Эта схема сертификации распространяется на файлы Word и Excel из состава MS-Office (версии "2000"). Первоначально предполагалось, что большого обмена такими файлами не будет, и выполняемый код оставался бы заключенным на пользовательской машине. Однако, все больше и больше документов Word пересылается по электронной почте и публикуется Интернете, представляя из себя большую угрозу пользовательской безопасности и приватности.
Дальнейшие проблемы возникают, когда мы пробуем придать защите строгую политику. Определенные объекты часто различны по своей природе и в такой ситуации не существует простого способа коррелировать объектный доступ. Например, в VBA программа имеет доступ к встроенному редактору/компилятору и, следовательно, к исходным текстам программы. Хотя любая обычная программа в целом и имеет доступ к файлу, это не предоставляет простого доступа к коду, поскольку это требует сложного синтаксического анализатора формата файла, требующего неопубликованную документацию. Это требовало бы управления доступом к программному коду во избежание активизации VBA-вирусов при обычных операциях с документами.
Тема будущего исследования должна определить модель взаимодействия приложений для операционной системы, которая позволит использовать строгую политику без лишения пользователей функциональных возможностей.