The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Виртуальный контейнер для Firefox"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Виртуальный контейнер для Firefox"  
Сообщение от opennews (??) on 09-Сен-08, 23:04 
"HP to launch virtual Firefox (http://mozillalinks.org/wp/2008/09/hp-to-launch-virtual-firefox/)" - компания Hewlett-Packard ведет работу по созданию виртуального контейнера для Firefox, который позволит изолировать браузер от основной системы, при сохранении возможности сохранения загрузок и передачи файлов в формы. Firefox Virtual Browser намечено выпустить уже в текущем месяце и включить в поставку ноутбука Compaq dc7900.

URL: http://mozillalinks.org/wp/2008/09/hp-to-launch-virtual-firefox/
Новость: http://www.opennet.me/opennews/art.shtml?num=17814

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Виртуальный контейнер для Firefox"  
Сообщение от User294 (??) on 09-Сен-08, 23:04 
Уровень паранои крепчал :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Виртуальный контейнер для Firefox"  
Сообщение от Аноним (??) on 10-Сен-08, 00:39 
ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и на запись в какие угодно папки + права на удаление, модификацию и т.д. любых файлов. Браузер должен иметь право отображать странички и сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в настройках при необходимости.

А так сегодня любой браузер получает в системе универсальные права для любой программы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Виртуальный контейнер для Firefox"  
Сообщение от Jet (??) on 10-Сен-08, 01:50 
>ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять
>браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и
>на запись в какие угодно папки + права на удаление, модификацию
>и т.д. любых файлов. Браузер должен иметь право отображать странички и
>сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в
>настройках при необходимости.
>
>А так сегодня любой браузер получает в системе универсальные права для любой
>программы

"
- что-то меня гондурас беспокоит...
- а ты его не чеши ...
"(анек)

Не работайте под рутом и будет вам счастье...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Виртуальный контейнер для Firefox"  
Сообщение от Аноним (??) on 10-Сен-08, 08:06 
А домашняя папка пользователя может быть сворована/уничтожена/затроянена без прав рута.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Виртуальный контейнер для Firefox"  
Сообщение от User294 (ok) on 10-Сен-08, 08:17 
>А домашняя папка пользователя может быть сворована/уничтожена/затроянена без прав рута.

Как ни странно, в случае с контейнером это тоже будет верно.Если браузер может куда-то писать, он может это затроянить или уничтожить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Виртуальный контейнер для Firefox"  
Сообщение от SKeeper email on 10-Сен-08, 09:37 
По-моему суть этого контейнера будет как раз в том, чтобы ограничить браузеру подобные возможности, завести его в песочницу, так сказать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Виртуальный контейнер для Firefox"  
Сообщение от Frank email(??) on 10-Сен-08, 10:03 
А сколько дырок будет в реализации этих виртуальных контейнеров? не будет ли так, что дыра в контейнерах позволит получить рутовские права яваскрипту, тем самым ухудшив безопасность по сравнению с обычной эксплуатацией браузера? Кто даст гарантию, что этого не произойдёт?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Виртуальный контейнер для Firefox"  
Сообщение от SKeeper email on 10-Сен-08, 10:30 
>А сколько дырок будет в реализации этих виртуальных контейнеров? не будет ли
>так, что дыра в контейнерах позволит получить рутовские права яваскрипту, тем
>самым ухудшив безопасность по сравнению с обычной эксплуатацией браузера? Кто даст
>гарантию, что этого не произойдёт?

А кто даст гарантию, что от атаки злоумышленника циско превратится в бендера и пойдет убивать людей?
Чем больше препятствий, тем сложнее их обойти. И с какого вообще через дыру контейнера яваскрипт получит рутовые права? контейнер вряд ли будет запущен под рутом!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Виртуальный контейнер для Firefox"  
Сообщение от Frank email(??) on 10-Сен-08, 14:54 
Да хрен их знает, что оно будет, чего оно не будет: как я понимаю, код закрыт.
> About a year ago, ZoneLabs (now a CheckPoint property) released ForceField which used the same approach to a safer browsing but I found serious performance issues in the beta I tried then. It must have benefited of Firefox 3 performance improvements and its own development cycles since them though. ForceField is available for purchase for $29.
>> Stay away from ForceField! It killed my Windows Vista System, first it started with BSOD as soon as it was activated, then Explorer would hang when you try to remove the application (or it claimed the application was already uninstalled) and even if you did think you removed the application, much like AOL it left itself all over the place. Went to start Windows one morning and would not start normally, could get up in Safe Mode, but would just hang on a normal boot. Ended up having to do a full system recovery.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Виртуальный контейнер для Firefox"  
Сообщение от User294 (ok) on 10-Сен-08, 05:19 
>ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять
>браузеру права на запуск низкоуровнего драйвера,

А на кой фиг его под рутом гонять?Из чувства мазохизма?Это юзеры виндов все под админом пускать любят.А в *никсах этого не требуется, более того - юзер по дефолту обычно в *никсах не рут.Удачи не будучи рутом загрузить низкоуровневый драйвер и т.п..Оно и с рутом то не всегда прокатит, если админ реальный параноик :P

>на запуск других процессов

Опять же - обычный юзер может запускать в основном довольно безобидные процессы.И права на доступ к ФС у него обкоцаны.Как максимум можно аж свою папку убить.Модифицировать систему?Простым юзером?Ну, попробуйте.Если снос /home/<user> пугает, можно фоксу отдельного юзера выделить.С пустым home (который и будет та самая папка для даунлоадов?) - пущай сносят, это уж совсем не жалко :)

>на запись в какие угодно папки + права на удаление, модификацию
>и т.д. любых файлов.

Дык у обычного юзера (который не рут) нет таких прав.Юзер может в своей песочнице в /home/<юзерская_папка> развлекаться.Ну и хватит с него.Это вам не Windows где юзер с админом по дефолту сидит зачем-то а куча сервисов пнута от имени SYSTEM (наверное, чтобы хакерам было удобнее их ломать).

>Браузер должен иметь право отображать странички и сохранять загрузки
>в папку "загрузки" + в папку, указанную пользователем в
>настройках при необходимости.

Поздравляю.В *nix фаерфокс примерно такие права обычно и получает по дефолту.Да и юзер вообще.Нет, конечно, юзер может чуть побольше, но в общем то совсем не дофига.Никаких административно-деструктивных действий с такими правами особо не поделаешь.Никакого дестроя чужих или системных файлов.Никакой загрузки драйверов, модификации программ и прочая.Юзер - это юзер.Он может юзать свой аккаунт.Ну и хорош с него!Административно-деструктивные мероприятия?А это юзер не может.Облом, да?

>А так сегодня любой браузер получает в системе универсальные права для любой
>программы

Вообще-то в нормальных системах по дефолту он получает стандартный огрызок прав имеющийся у обычного пользователя.С этими правами ни драйвера ни загрузить, ни вредных действий особо не произвести.Разве что свою папку в /home подтереть можно.Ну, если страшно - создать фоксу отдельного юзера, пусть у него будет собственная home-папка.А если еще NoScript прицепить - JavaScript атаки и XSS атаки вообще будут пролетать мимо а остального как-то там и не дофига по жизни.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Виртуальный контейнер для Firefox"  
Сообщение от fresco (??) on 10-Сен-08, 10:01 
Бля, вывероятность че-нить подхватить через браузер в рунете под Linux считайте! Я 8 лет под рутом сижу -- и че? ниразу никакой заразы не видал.

Я, конечно, понимаю все -- да, изолировать браузер это правильно. Но из-за такой ничтожной вероятности что-то подхватить дергаться и усложнять себе жизнь -- это паранойя чистой воды. Извините!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Виртуальный контейнер для Firefox"  
Сообщение от SKeeper email on 10-Сен-08, 10:24 
>Я, конечно, понимаю все -- да, изолировать браузер это правильно. Но из-за
>такой ничтожной вероятности что-то подхватить дергаться и усложнять себе жизнь --
>это паранойя чистой воды. Извините!

Пока да, но стоит линуксу чуток увеличить свою популярность и это уже будет не паранойя. Так что это хороший задел на будущее!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Виртуальный контейнер для Firefox"  
Сообщение от Аноним (??) on 10-Сен-08, 10:56 
В Unix сидеть под рутом - это как раз усложнять себе жизнь. Так уж она, слава богу, устроена.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Виртуальный контейнер для Firefox"  
Сообщение от fresco (??) on 10-Сен-08, 13:15 
Да не парьте мозг! Я ядро частенько ковыряю. Мне эти sudo набирать парит невероятно. Не вижу ни одной реальной причины сидеть из-под юзера. Паранойя.

to SKeeper: согласен. когда увеличит -- будем думать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Виртуальный контейнер для Firefox"  
Сообщение от SKeeper email on 10-Сен-08, 14:23 
>Да не парьте мозг! Я ядро частенько ковыряю. Мне эти sudo набирать
>парит невероятно. Не вижу ни одной реальной причины сидеть из-под юзера.
>Паранойя.

наберите "su -" и в этой консольке делайте административные действия. Я тоже не верю в вирусную опасность для линукс-десктопа сейчас, но от случайной собственной ошибки никто не застрахован.

>to SKeeper: согласен. когда увеличит -- будем думать.

Лучше начинать думать заранее ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Виртуальный контейнер для Firefox"  
Сообщение от szh (ok) on 10-Сен-08, 14:36 
> наберите "su -" и в этой консольке делайте административные действия.

или "sudo -i"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Виртуальный контейнер для Firefox"  
Сообщение от uldus (ok) on 10-Сен-08, 10:44 
>Опять же - обычный юзер может запускать в основном довольно безобидные процессы.И права на доступ к ФС у него обкоцаны.Как максимум можно аж свою папку убить.

Незнаю как у вас, а на моей рабочей станции ценность представляет именно моя домашняя директория, все остальное легко восстановимо. Поэтому я бы предпочел, чтобы firefox сидел в chroot'е, был лишен возможности bind-ится к портам и мог писать/открывать файлы из одной фиксированной директории.
Права обычного пользователя в системе дают слишком много полномочий, для того чтобы рассылать спам, сканировать и взламывать другие машины, работать в роли прокси, раздавать варез, воровать пользовательские данные,  участвовать в DDoS атаке, рута не нужно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Виртуальный контейнер для Firefox"  
Сообщение от Anonymoys on 10-Сен-08, 16:27 
> Незнаю как у вас, а на моей рабочей станции ценность представляет именно моя домашняя директория

Если Вы так не доверяете firefox-у - кто мешает запускать его от отдельного специального пользователя?
sudo -H -u firefox_user firefox и все дела, максимум, что он испортит - свой кэш в собственной домашней директории.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Виртуальный контейнер для Firefox"  
Сообщение от Гостище on 10-Сен-08, 22:51 
А X серверу можно доверять ? В нём и в его библиотеках нет ошибок ? А то мало ли... :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Виртуальный контейнер для Firefox"  
Сообщение от pavlinux (ok) on 11-Сен-08, 05:38 
>А X серверу можно доверять ? В нём и в его библиотеках
>нет ошибок ? А то мало ли... :)

Ну не надо в крайности, все это знают, - работаем! Тащим X из рута.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Виртуальный контейнер для Firefox"  
Сообщение от Буквоед on 10-Сен-08, 14:26 
>ОТЛИЧНОЕ РЕШЕНИЕ. Это не паранойя, а НЕОБХОДИМОСТЬ. Дикий маразм - это предоставлять
>браузеру права на запуск низкоуровнего драйвера, на запуск других процессов и
>на запись в какие угодно папки + права на удаление, модификацию
>и т.д. любых файлов. Браузер должен иметь право отображать странички и
>сохранять загрузки в папку "загрузки" + в папку, указанную пользователем в
>настройках при необходимости.
>
>А так сегодня любой браузер получает в системе универсальные права для любой
>программы

Киса, установи в AppArmor профиль для Firefox. Это удовлетворит твои потребности на 99%.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Виртуальный контейнер для Firefox"  
Сообщение от trdm email(ok) on 10-Сен-08, 01:03 
А, теперь понял, что это за хрень.
В принципе поддерживаю.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Виртуальный контейнер для Firefox"  
Сообщение от RapteR email(ok) on 10-Сен-08, 06:11 
Use jail :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Виртуальный контейнер для Firefox"  
Сообщение от Аноним (??) on 10-Сен-08, 07:35 
Luke?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Виртуальный контейнер для Firefox"  
Сообщение от Аноним (??) on 10-Сен-08, 07:24 
Они изобрели chroot?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Виртуальный контейнер для Firefox"  
Сообщение от Frank email(??) on 10-Сен-08, 10:07 
>Они изобрели chroot?

они его форкнули :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Виртуальный контейнер для Firefox"  
Сообщение от szh (ok) on 10-Сен-08, 14:40 
>Они изобрели chroot?

chroot + bind mounts + избавят от кучи гемора по настройке оного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Виртуальный контейнер для Firefox"  
Сообщение от pavlinux (ok) on 11-Сен-08, 05:41 
>>Они изобрели chroot?
>
>chroot + bind mounts + избавят от кучи гемора по настройке оного.
>

А может настройка будет выглядеть так:

VContainer /usr/bin/firefox --make-home /tmp/ffox --size-home 1G --access-dir /home/user/download --copy-env=yes
  
Cобственно:  
/usr/bin/firefox  - изолируемая программа
--make-home /tmp/ffox - новый Дом
--size-home 1G  - размер Дома
--access-dir /home/user/download  - директория куда имеется доступ, можно через пробел перечисление  
--copy-env=yes - копировать текущее окружение или новое!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру