The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Улучшение sandbox-изоляции в Firefox"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от opennews (??) on 12-Май-18, 12:33 
В недавно выпущенном релизе Firefox 60 (https://www.opennet.ru/opennews/art.shtml?num=48565) была существенно улучшена (https://www.morbo.org/2018/05/linux-sandboxing-improvements-...) sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для  обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level.


Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвимостей в разных подсистемах. Блокирование сетевого доступа в процессах обработки контента позволяет исключить все нештатные пути отправки трафика, например, при включении работы через прокси в настройках доступ теперь возможен только через прокси, даже в случае эксплуатации уязвимости и попытки прямой установки соединения (особенно изменение актуально для защиты от атак по деанонимизации пользователей Tor Browser). Не менее важна блокировка доступа через unix-сокеты, так как эта возможность позволяет обратиться от имени пользователя к локальным сервисам, RPC-интерфейс которых допускает (https://www.opennet.ru/opennews/art.shtml?num=47912) команды, в результате которых можно выполнить код в системе.

Блокировка реализована через запрет системных вызовов, таких как connect, и помещение процесса в отдельное пространство имён идентификаторов пользователя (user namespaces), по аналогии с тем как реализуется изоляция для контейнеров. Исключение сделано только для протокола X11, который применяется для отображения графики и приёма событий ввода (в будущих выпусках планируют реализовать защиту и для канала связи с X11).

Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог), ограничен доступ дочерних процессов Firefox к системным вызовам (используется Seccomp-bpf), ограничено взаимодействие со сторонними процессами, исключён доступ к разделяемой памяти и видеоподсистеме.


В обычных условиях для настройки sandbox (https://wiki.mozilla.org/Security/Sandbox) в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно (https://www.opennet.ru/opennews/art.shtml?num=29219) для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=47407), которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

URL: https://www.morbo.org/2018/05/linux-sandboxing-improvements-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48589

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 12:33 
Т.е. теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 12:37 
Это плохо или хорошо?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним email(??) on 12-Май-18, 13:53 
И хорошо и плохо.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

32. "Улучшение sandbox-изоляции в Firefox"  +2 +/
Сообщение от Аноним (??) on 12-Май-18, 20:22 
> И хорошо и плохо.

Критическая уязвимость Шредингера. Wait, oh shi-!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Улучшение sandbox-изоляции в Firefox"  +5 +/
Сообщение от Stax (ok) on 12-Май-18, 13:48 
> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений

Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

> Также теперь блокируются любые обращения к System V IPC

Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API.

Несколько странно блокировать SysV и ничего не делать про POSIX вариант.

Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 14:22 
> Несколько странно блокировать SysV и ничего не делать про POSIX вариант.

Это мозилла, они только и умеют что "безопасные" просмотрщики PDF на JS наворачивать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

24. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Kuromi (ok) on 12-Май-18, 16:48 
А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально закрыт, наработки в мусорку.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Улучшение sandbox-изоляции в Firefox"  +2 +/
Сообщение от Аноним (??) on 12-Май-18, 20:21 
> А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально
> закрыт, наработки в мусорку.

Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую. Там как-то больше результата и меньше хипстерского булшита. Не скажу что это здорово, ранние файрфоксы нравились больше. Версии так до 3 были очень даже. Но потом вместо разработчиков пришли маркетологи и все изгадили, про#$%в все достоинства программы и ничего не сделав взамен.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

43. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 13-Май-18, 01:02 
А в чём твои претензии? С некоторых пор (57) pdf.js безопаснее системных просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.
https://github.com/The-OP/Fox/commit/cae3ccbcbc30921a6c3cae3...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

46. "Улучшение sandbox-изоляции в Firefox"  +2 +/
Сообщение от Аноним (??) on 13-Май-18, 21:56 
Так безопасен, что Владимир Палант (изначальный автор адблока) накопал там кучу rce (в привилегированном контексте) уязвимостей.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

53. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 14-Май-18, 19:44 
> просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.

Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплевав на рассказы про "безопасность". Кроссплатформенно. Извини но настолько грубой нестыковки наблюдаемых реалий и заявлений разработчиков в вопросах безопасности достаточно и 1 раз для переоценки ситуации.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

17. "Улучшение sandbox-изоляции в Firefox"  –1 +/
Сообщение от пох on 12-Май-18, 15:56 
> Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Улучшение sandbox-изоляции в Firefox"  +2 +/
Сообщение от Аноним (??) on 12-Май-18, 16:01 
> по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь
> линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.

Потому что отличаются в деталях, а тестить разработчику среднего пошиба один черт не на чем. Поэтому соляра может до упора какой там еще /dev/poll реализовывать, или что там у нее. Но лично мне будет не на чем это протестировать. Да и плевать мне как оно там работает - я это не видел и не увижу никогда, имхо.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "Улучшение sandbox-изоляции в Firefox"  –3 +/
Сообщение от пох on 12-Май-18, 21:43 
> Потому что отличаются в деталях

user namespaces - это не детали, это мертвый технологический тупик, в котором линукс по уши увяз.
ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.

> Но лично мне будет не на чем это протестировать.

угу, виртуалки уже запрещены, за них десять лет дают?
(и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными платформами, и собрать ее на деньги мазилы тоже никак - все ушли на равные права п-сам и членодевкам)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 23:58 
Что там, в тупике-то?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

54. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 14-Май-18, 20:21 
> user namespaces - это не детали, это мертвый технологический тупик,

На уровне технологий и реализации никаких фатальных провалов которые бы меня коробили я на самом деле не вижу. А то что к изначально не предназначенному для таких развлекух кернелу оно прикручивается сложно и с дурными проблемами - понимаемо. Но, знаешь, "with enough thrust, pigs fly just fine". Собственно главная заслуга Торвальдса - thrust.

> в котором линукс по уши увяз.

Рассусоливания о том как могло бы быть, сидючи с голым задом не возбуждают. Проприетарные системы - где-то там, не у меня. Мне они бесполезны. И какие практически значимые варианты остаются?

> ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.

Как-то так говорили про x86 разработчики правильных высокопарных железок. И большинства этих железок с нами (уже) нет, а зачастую и фирм их сделавших. Даже у интеля был совершенно донкихотский проект, задолго до итаника. Но невзрачный 386, запасной вариант для отмахивания от конкурентов на время строительства светлого будушего - оказался дешевле и лучше. А светлое будущее с програмизмом на Аде - догоняет призрак коммунизма.

> угу, виртуалки уже запрещены, за них десять лет дают?

Нет, но для меня это большое приключение сильно в сторону, без понятных профитов при ощутимых затратах времени и сил. Как мне кажется остальные похоже считают. Поэтому максимум на что солярщики могут уповать - что если они пришлют патч, его включат в проект и не выкинут пока кто-то из тех кому соляра позарез нужна будет майнтайнить. Но поскольку среди солярщиков много высокопарных админов и мало кодеров, вероятность такого расклада...

> (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными
> платформами, и собрать ее на деньги мазилы тоже никак - все
> ушли на равные права п-сам и членодевкам)

Я думаю что им все это просто не надо, прикидывая соотношение долботни и ради чего она затевается. Они для линя то нормально сабж сделать не могут, хотя там несколько сисколов, и вообще, если даже не знать каких, готовую запускалку можно у хромиума скопипи...ть. А ты им про соляру. Ты с какой планеты? :)

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

25. "Улучшение sandbox-изоляции в Firefox"  +1 +/
Сообщение от Kuromi (ok) on 12-Май-18, 16:52 
>> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений
> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

Как будто это нвовость. Не буду напоминать про отсутвие аппаратного декодирования видео, вялую разрабку аппаратного ускорения композинга и вывода на экран под Линуксом (притом что под Виндоус это все уже официально есть), так они даже свои WebExtentions под Линуксом в отдельном потоке не ерализовали. Было в Виндоус, кажется начиная с 60-ого есть и под Макинтошем, Линукс? "Может быть в 2018-ом".

И это при том, что есть пара непритяных багов с WebEXt которые решаются именно включением отдельного процесса, их, соотвественно, отдельно не исправляют - остается только ждать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Kuromi (ok) on 12-Май-18, 17:15 
> Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где
> собственно это изменение делали (

Вот ваша ссылочка в Багзиллу - https://bugzilla.mozilla.org/show_bug.cgi?id=1376910

Но боюсь искомого ответа ПОЧЕМУ там нет. Могу только предположить что 1) до POSIX IPC еще не дошли руки, все таки играничения наращиваются постепенно, да и разработчков там не бесконечное количество 2) блокируют все что возможно заблокировать, так как такая тенденция

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от КО on 12-Май-18, 20:25 
>Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

И это коментарий на Linux специфичную фичу. Которой все одно почти никто в здравом уме пользоваться не будет. Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. Вот ее и не стали описывать. Ну как не стали, нормальные пользователи линя могли и в версионке посмотреть. :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

40. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 12-Май-18, 23:16 
Причём тут рут? Запретить браузеру заливать в Интернет мои файлы без спроса, или там микрофоном пользоваться, или программы какие запускать — по-моему, не так уж плохо.

А фича эта не совсем Linux-специфическая, сейчас обкатывается аналогичный патч для OpenBSD, использующий pledge.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

47. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 13-Май-18, 21:59 
>>Ибо предоставлять браузеру рута в  надежде. что он лучше начнет сам себя ограничивать, это та еще возможность.

для работы с capability root не нужен. firejail прекрасно без рута работает.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

42. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 13-Май-18, 01:00 
> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.

Совсем не правда, линуксоид. Про мак всегда пишут. Про андроид тоже. Так что ты один в своей печали вместе с бсд, не стоит на винду злиться.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от анон on 13-Май-18, 03:36 
А при чём тут bsdшнники?Мы локти не кусаем в ожидании вендокопца.Пилим себе потихоньку,пока остальные нас хоронят ;-)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

52. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 14-Май-18, 19:01 
За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

8. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 13:56 
Зачем эти возможности изначально?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 14:16 
Эти ламерозные скриптокидозники так до сих пор и не смогли в clone() с отпиливанием браузера в приватные namespaces, чтобы атакующий по всей системе не шарился? Хромиум это делает уже лет, наверное, пять, если не больше. И кода там для этого мизер, а эффект от него - очень даже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 15:18 
>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать не будет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Улучшение sandbox-изоляции в Firefox"  +1 +/
Сообщение от Kuromi (ok) on 12-Май-18, 16:56 
>>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
> Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать
> не будет?

Будет, если вручную включить user namespaces. Начиная с 7.2 в Рэд Хате оно есть, надо только включить - https://ru.scribd.com/document/357498357/User-Namespace-in-R...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Улучшение sandbox-изоляции в Firefox"  +1 +/
Сообщение от X4asd (ok) on 12-Май-18, 15:29 
> В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.

а также (не включено) в Arch Linux и куче других линуксов.

проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают!

вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Улучшение sandbox-изоляции в Firefox"  –2 +/
Сообщение от Аноним (??) on 12-Май-18, 16:06 
> проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения
> разрешается делать user_namespaces, а все остальные линуксы этого избегают!

Еще дебиан и почти все его деривативы забыл. Всего ничего. А так что там осталось то? Арч и гента у чокнутых скрипткидисов? На них ориентироваться себе дороже, там двух одинаковых систем не найдешь, поэтому у одного не заработает одно, у другого другое, у третьего третье, а разработчику при виде всего этого останется разве что застрелиться, потому что нормально работать это месиво не будет в принципе.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

39. "Улучшение sandbox-изоляции в Firefox"  +4 +/
Сообщение от Арчевод on 12-Май-18, 23:11 
Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали пачками находить уязвимости, выключили до лучших времен.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

55. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 14-Май-18, 20:27 
> Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали
> пачками находить уязвимости, выключили до лучших времен.

Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется. Это уж увы.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

57. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 15-Май-18, 09:33 
> Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы
> быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется.
> Это уж увы.

Уважаемый гуру, подскажите пожалуйста, какой другой "кернель" "был заточен на то чтобы быть НАСТОЛЬКО многопользовательским"? И, желательно, под более-менее свободной лицензией.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

29. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 18:20 
Противоречивая новость. Так и не понял стало лучше или хуже. юзер что-то там дырявое, то что не дырявое позволяет получить права рута.
А между тем фокс в firejail не работает. Собственным изоляциям фокса доверия нет.

Работает с таким конфигом, подсмотренным в тырнете, на сколько это безопасно? Или тупо вся изоляция выключена?
#seccomp
seccomp.drop @clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,@reboot,@resources,@swap,acct,add_key,bpf,fanotify_init,io_cancel,io_destroy,io_getevents,io_setup,io_submit,ioprio_set,kcmp,keyctl,mount,name_to_handle_at,nfsservctl,ni_syscall,open_by_handle_at,personality,pivot_root,process_vm_readv,ptrace,remap_file_pages,request_key,setdomainname,sethostname,syslog,umount,umount2,userfaultfd,vhangup,vmsplice

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Улучшение sandbox-изоляции в Firefox"  +2 +/
Сообщение от Аноним (??) on 12-Май-18, 19:37 
Речь идет об очередных «"улучшениях" в файрфоксе».

Думаю, ты знаешь, что такое «"улучшения" в файрфоксе» и как к ним относиться.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от КО on 12-Май-18, 20:53 
>Так и не понял стало лучше или хуже.

Ну как бы лучше, но если дать рута браузеру. А там, как повезет. :)

Интересно, почему они просто не сделали отдельный процесс со своим контекстом того же Selinux, и никакого рута не надо.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от пох on 12-Май-18, 22:01 
> Ну как бы лучше, но если дать рута браузеру. А там, как

не браузеру. всем подряд. Ну, правда, специального такого рута, который как бы есть а как бы его нет.

но иногда он, внезапно, обратно есть ;-)

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от КО on 14-Май-18, 09:26 
Он не внезапно, он закономерно.
Ядро это, что-то типа творчества Франкенштейна. И одни части, ради которых это задумывалось, в курсе концепции "царь то не настоящий". А авторы других об этом никогда и не задумывались. Пока все не прошерстить и не переписать, так и будет.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

56. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 14-Май-18, 20:29 
> но иногда он, внезапно, обратно есть ;-)

При том основы этого бардака заложили как ни странно древние юниксы и POSIX. А вот в линухе с его capabilities - даже если я кому-то и дам CAP_NET_ADMIN, сеть он конечно перекорежить сможет, но вот например в блочный девайс записать как настоящий рут - да сейчас.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

34. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Аноним (??) on 12-Май-18, 20:50 
Оно включается после обновления или нужно самому включать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Kuromi (ok) on 12-Май-18, 22:52 
Если настройки sandbox-а руками не меняли раньше, то само включится. Если меняли, то надо в about:config перевести security.sandbox.content.level в 4
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Улучшение sandbox-изоляции в Firefox"  +/
Сообщение от Hdddd on 14-Май-18, 11:18 
> Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог)

Вопрос знатокам: а как тогда я могу сохранять или аплоадить файлы, ведь я должен увидеть пустой каталог при открытии соотв. диалогового окна?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Улучшение sandbox-изоляции в Firefox"  +1 +/
Сообщение от Ан (??) on 14-Май-18, 11:59 
Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса из коробки.
Доки из фокса напрямую не открываются в либре - это минус.
Очевидно, никакой втроенной изоляции нет.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor