Таким образом, чтобы MIT-SHM работал между приложением, запущенным в док-контейнере, и x11, работающим на хосте, я должен передать --ipc host во время запуска контейнера. Я прочитал документацию о том, что он должен делать.
Предполагая, что приложение НЕ выполняется от имени пользователя root (внутри контейнера), какие возможные векторы атаки это открывает? Другими словами, насколько --ipc host ставит под угрозу безопасность?