Applikationsprüfung ist trivial umgehbar (z.B. Mozilla in anderem Verzeichnis -> outbound trotz "Verbot" möglich).
Eigenes Sicherheitssystems an den ACLs vorbei.