|
| 1.2, Аноним (2), 00:39, 10/09/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и на запись в какие угодно папки + права на удаление, модификацию и т.д. любых файлов. Браузер должен иметь право отображать странички и сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в настройках при необходимости.
А так сегодня любой браузер получает в системе универсальные права для любой программы
| | |
| |
| 2.4, Jet (??), 01:50, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять
>браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и
>на запись в какие угодно папки + права на удаление, модификацию
>и т.д. любых файлов. Браузер должен иметь право отображать странички и
>сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в
>настройках при необходимости.
>
>А так сегодня любой браузер получает в системе универсальные права для любой
>программы
"
- что-то меня гондурас беспокоит...
- а ты его не чеши ...
"(анек)
Не работайте под рутом и будет вам счастье...
| | |
| |
| 3.9, Аноним (-), 08:06, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
А домашняя папка пользователя может быть сворована/уничтожена/затроянена без прав рута.
| | |
| |
| 4.10, User294 (ok), 08:17, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>А домашняя папка пользователя может быть сворована/уничтожена/затроянена без прав рута.
Как ни странно, в случае с контейнером это тоже будет верно.Если браузер может куда-то писать, он может это затроянить или уничтожить.
| | |
| |
| 5.11, SKeeper (?), 09:37, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
 По-моему суть этого контейнера будет как раз в том, чтобы ограничить браузеру подобные возможности, завести его в песочницу, так сказать.
| | |
| |
| 6.13, Frank (??), 10:03, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
 А сколько дырок будет в реализации этих виртуальных контейнеров? не будет ли так, что дыра в контейнерах позволит получить рутовские права яваскрипту, тем самым ухудшив безопасность по сравнению с обычной эксплуатацией браузера? Кто даст гарантию, что этого не произойдёт?
| | |
| |
| 7.16, SKeeper (?), 10:30, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А сколько дырок будет в реализации этих виртуальных контейнеров? не будет ли
>так, что дыра в контейнерах позволит получить рутовские права яваскрипту, тем
>самым ухудшив безопасность по сравнению с обычной эксплуатацией браузера? Кто даст
>гарантию, что этого не произойдёт?
А кто даст гарантию, что от атаки злоумышленника циско превратится в бендера и пойдет убивать людей?
Чем больше препятствий, тем сложнее их обойти. И с какого вообще через дыру контейнера яваскрипт получит рутовые права? контейнер вряд ли будет запущен под рутом!
| | |
| |
| 8.24, Frank (??), 14:54, 10/09/2008 [^] [^^] [^^^] [ответить] | +/– | Да хрен их знает, что оно будет, чего оно не будет как я понимаю, код закрыт ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.5, User294 (ok), 05:19, 10/09/2008 [^] [^^] [^^^] [ответить] | +/– | А на кой фиг его под рутом гонять Из чувства мазохизма Это юзеры виндов все под ... большой текст свёрнут, показать | | |
| |
| 3.12, fresco (??), 10:01, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Бля, вывероятность че-нить подхватить через браузер в рунете под Linux считайте! Я 8 лет под рутом сижу -- и че? ниразу никакой заразы не видал.
Я, конечно, понимаю все -- да, изолировать браузер это правильно. Но из-за такой ничтожной вероятности что-то подхватить дергаться и усложнять себе жизнь -- это паранойя чистой воды. Извините!
| | |
| |
| 4.15, SKeeper (?), 10:24, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Я, конечно, понимаю все -- да, изолировать браузер это правильно. Но из-за
>такой ничтожной вероятности что-то подхватить дергаться и усложнять себе жизнь --
>это паранойя чистой воды. Извините!
Пока да, но стоит линуксу чуток увеличить свою популярность и это уже будет не паранойя. Так что это хороший задел на будущее!
| | |
| 4.18, Аноним (-), 10:56, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
В Unix сидеть под рутом - это как раз усложнять себе жизнь. Так уж она, слава богу, устроена.
| | |
| |
| 5.19, fresco (??), 13:15, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Да не парьте мозг! Я ядро частенько ковыряю. Мне эти sudo набирать парит невероятно. Не вижу ни одной реальной причины сидеть из-под юзера. Паранойя.
to SKeeper: согласен. когда увеличит -- будем думать.
| | |
| |
| 6.20, SKeeper (?), 14:23, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Да не парьте мозг! Я ядро частенько ковыряю. Мне эти sudo набирать
>парит невероятно. Не вижу ни одной реальной причины сидеть из-под юзера.
>Паранойя.
наберите "su -" и в этой консольке делайте административные действия. Я тоже не верю в вирусную опасность для линукс-десктопа сейчас, но от случайной собственной ошибки никто не застрахован.
>to SKeeper: согласен. когда увеличит -- будем думать.
Лучше начинать думать заранее ;)
| | |
| |
| 7.22, szh (ok), 14:36, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> наберите "su -" и в этой консольке делайте административные действия.
или "sudo -i"
| | |
|
|
|
|
| 3.17, uldus (ok), 10:44, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Опять же - обычный юзер может запускать в основном довольно безобидные процессы.И права на доступ к ФС у него обкоцаны.Как максимум можно аж свою папку убить.
Незнаю как у вас, а на моей рабочей станции ценность представляет именно моя домашняя директория, все остальное легко восстановимо. Поэтому я бы предпочел, чтобы firefox сидел в chroot'е, был лишен возможности bind-ится к портам и мог писать/открывать файлы из одной фиксированной директории.
Права обычного пользователя в системе дают слишком много полномочий, для того чтобы рассылать спам, сканировать и взламывать другие машины, работать в роли прокси, раздавать варез, воровать пользовательские данные, участвовать в DDoS атаке, рута не нужно.
| | |
| |
| 4.25, Anonymoys (?), 16:27, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Незнаю как у вас, а на моей рабочей станции ценность представляет именно моя домашняя директория
Если Вы так не доверяете firefox-у - кто мешает запускать его от отдельного специального пользователя?
sudo -H -u firefox_user firefox и все дела, максимум, что он испортит - свой кэш в собственной домашней директории.
| | |
| |
| 5.26, Гостище (?), 22:51, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
А X серверу можно доверять ? В нём и в его библиотеках нет ошибок ? А то мало ли... :)
| | |
| |
| 6.27, pavlinux (ok), 05:38, 11/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А X серверу можно доверять ? В нём и в его библиотеках
>нет ошибок ? А то мало ли... :)
Ну не надо в крайности, все это знают, - работаем! Тащим X из рута.
| | |
|
|
|
|
| 2.21, Буквоед (?), 14:26, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять
>браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и
>на запись в какие угодно папки + права на удаление, модификацию
>и т.д. любых файлов. Браузер должен иметь право отображать странички и
>сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в
>настройках при необходимости.
>
>А так сегодня любой браузер получает в системе универсальные права для любой
>программы
Киса, установи в AppArmor профиль для Firefox. Это удовлетворит твои потребности на 99%.
| | |
|
| |
| 2.23, szh (ok), 14:40, 10/09/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Они изобрели chroot?
chroot + bind mounts + избавят от кучи гемора по настройке оного.
| | |
| |
| 3.28, pavlinux (ok), 05:41, 11/09/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Они изобрели chroot?
>
>chroot + bind mounts + избавят от кучи гемора по настройке оного.
>
А может настройка будет выглядеть так:
VContainer /usr/bin/firefox --make-home /tmp/ffox --size-home 1G --access-dir /home/user/download --copy-env=yes
Cобственно:
/usr/bin/firefox - изолируемая программа
--make-home /tmp/ffox - новый Дом
--size-home 1G - размер Дома
--access-dir /home/user/download - директория куда имеется доступ, можно через пробел перечисление
--copy-env=yes - копировать текущее окружение или новое!
| | |
|
|
|
