forum.opennet.ru - "Улучшение sandbox-изоляции в Firefox" (43)

"Улучшение sandbox-изоляции в Firefox"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от opennews (??), 12-Май-18, 12:33
В недавно выпущенном релизе Firefox 60 (https://www.opennet.me/opennews/art.shtml?num=48565) была существенно улучшена (https://www.morbo.org/2018/05/linux-sandboxing-improvements-...) sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level. Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвимостей в разных подсистемах. Блокирование сетевого доступа в процессах обработки контента позволяет исключить все нештатные пути отправки трафика, например, при включении работы через прокси в настройках доступ теперь возможен только через прокси, даже в случае эксплуатации уязвимости и попытки прямой установки соединения (особенно изменение актуально для защиты от атак по деанонимизации пользователей Tor Browser). Не менее важна блокировка доступа через unix-сокеты, так как эта возможность позволяет обратиться от имени пользователя к локальным сервисам, RPC-интерфейс которых допускает (https://www.opennet.me/opennews/art.shtml?num=47912) команды, в результате которых можно выполнить код в системе. Блокировка реализована через запрет системных вызовов, таких как connect, и помещение процесса в отдельное пространство имён идентификаторов пользователя (user namespaces), по аналогии с тем как реализуется изоляция для контейнеров. Исключение сделано только для протокола X11, который применяется для отображения графики и приёма событий ввода (в будущих выпусках планируют реализовать защиту и для канала связи с X11). Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог), ограничен доступ дочерних процессов Firefox к системным вызовам (используется Seccomp-bpf), ограничено взаимодействие со сторонними процессами, исключён доступ к разделяемой памяти и видеоподсистеме. В обычных условиях для настройки sandbox (https://wiki.mozilla.org/Security/Sandbox) в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно (https://www.opennet.me/opennews/art.shtml?num=29219) для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей (https://www.opennet.me/opennews/art.shtml?num=47407), которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. URL: https://www.morbo.org/2018/05/linux-sandboxing-improvements-... Новость: https://www.opennet.me/opennews/art.shtml?num=48589
Ответить \| Правка \| Cообщить модератору

Оглавление

Т е теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет, Аноним (-), 12:33 , 12-Май-18, (1)

Это плохо или хорошо , Аноним (-), 12:37 , 12-Май-18, (2)

И хорошо и плохо , Аноним (7), 13:53 , 12-Май-18, (7)

Критическая уязвимость Шредингера Wait, oh shi- , Аноним (-), 20:22 , 12-Май-18, (32) +2

Мда Очередное свидетельство, насколько им положить на пользователей ОС, отличны, Stax (ok), 13:48 , 12-Май-18, (6) +4

Это мозилла, они только и умеют что безопасные просмотрщики PDF на JS наворачи, Аноним (-), 14:22 , 12-Май-18, (11)

А иного просмотрщика и не будет, проект Mortar PDFium их Хрома официально закр, Kuromi (ok), 16:48 , 12-Май-18, (24)

Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую Т, Аноним (-), 20:21 , 12-Май-18, (31) +2

А в чём твои претензии С некоторых пор 57 pdf js безопаснее системных просмот, Аноним (-), 01:02 , 13-Май-18, (43) –1

Так безопасен, что Владимир Палант изначальный автор адблока накопал там кучу , Аноним (-), 21:56 , 13-Май-18, (46) +4
Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплев, Аноним (-), 19:44 , 14-Май-18, (53)

по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного л, пох (?), 15:56 , 12-Май-18, (17) –1

Потому что отличаются в деталях, а тестить разработчику среднего пошиба один чер, Аноним (-), 16:01 , 12-Май-18, (20) +2

user namespaces - это не детали, это мертвый технологический тупик, в котором ли, пох (?), 21:43 , 12-Май-18, (36) –3

Что там, в тупике-то , Аноним (-), 23:58 , 12-Май-18, (41)
На уровне технологий и реализации никаких фатальных провалов которые бы меня кор, Аноним (-), 20:21 , 14-Май-18, (54)

Как будто это нвовость Не буду напоминать про отсутвие аппаратного декодировани, Kuromi (ok), 16:52 , 12-Май-18, (25) +1
Вот ваша ссылочка в Багзиллу - https bugzilla mozilla org show_bug cgi id 1376, Kuromi (ok), 17:15 , 12-Май-18, (27)
И это коментарий на Linux специфичную фичу Которой все одно почти никто в здрав, КО (?), 20:25 , 12-Май-18, (33)

Причём тут рут Запретить браузеру заливать в Интернет мои файлы без спроса, или, PereresusNeVlezaetBuggy (ok), 23:16 , 12-Май-18, (40)
для работы с capability root не нужен firejail прекрасно без рута работает , Аноним (-), 21:59 , 13-Май-18, (47)

Совсем не правда, линуксоид Про мак всегда пишут Про андроид тоже Так что ты , Аноним (-), 01:00 , 13-Май-18, (42)

А при чём тут bsdшнники Мы локти не кусаем в ожидании вендокопца Пилим себе поти, анон (?), 03:36 , 13-Май-18, (44) +1

За что вам респект и уважуха в отличии от покусанных блохастым ногоедом , Аноним (-), 19:01 , 14-Май-18, (52)

Зачем эти возможности изначально , Аноним (-), 13:56 , 12-Май-18, (8)
Эти ламерозные скриптокидозники так до сих пор и не смогли в clone с отпиливан, Аноним (-), 14:16 , 12-Май-18, (9)
Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работ, Аноним (-), 15:18 , 12-Май-18, (15)

Будет, если вручную включить user namespaces Начиная с 7 2 в Рэд Хате оно есть,, Kuromi (ok), 16:56 , 12-Май-18, (26) +1

а также не включено в Arch Linux и куче других линуксов проще было так и напис, X4asd (ok), 15:29 , 12-Май-18, (16) +1

Еще дебиан и почти все его деривативы забыл Всего ничего А так что там осталос, Аноним (-), 16:06 , 12-Май-18, (21) –2

Дырявый этот ваш User Namespaces Был включён раньше, но когда там стали пачками, Арчевод (?), 23:11 , 12-Май-18, (39) +4

Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть Н, Аноним (-), 20:27 , 14-Май-18, (55)

Уважаемый гуру, подскажите пожалуйста, какой другой кернель был заточен на то, Аноним (-), 09:33 , 15-Май-18, (57)

Противоречивая новость Так и не понял стало лучше или хуже юзер что-то там дыр, Аноним (-), 18:20 , 12-Май-18, (29)

Речь идет об очередных 171 улучшениях в файрфоксе 187 Думаю, ты знаешь, чт, Аноним (-), 19:37 , 12-Май-18, (30) +2
Ну как бы лучше, но если дать рута браузеру А там, как повезет Интересно, по, КО (?), 20:53 , 12-Май-18, (35)

не браузеру всем подряд Ну, правда, специального такого рута, который как бы е, пох (?), 22:01 , 12-Май-18, (37)

Он не внезапно, он закономерно Ядро это, что-то типа творчества Франкенштейна И, КО (?), 09:26 , 14-Май-18, (49)
При том основы этого бардака заложили как ни странно древние юниксы и POSIX А в, Аноним (-), 20:29 , 14-Май-18, (56)

Оно включается после обновления или нужно самому включать , Аноним (-), 20:50 , 12-Май-18, (34)

Если настройки sandbox-а руками не меняли раньше, то само включится Если меняли, Kuromi (ok), 22:52 , 12-Май-18, (38)

Вопрос знатокам а как тогда я могу сохранять или аплоадить файлы, ведь я должен, Hdddd (?), 11:18 , 14-Май-18, (50)

Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса , Ан (??), 11:59 , 14-Май-18, (51) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 12-Май-18, 12:33 +/–

Т.е. теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (-), 12-Май-18, 12:37 +/–

Это плохо или хорошо?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7

6. Сообщение от Stax (ok), 12-Май-18, 13:48 +4 +/–

> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений
Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
> Также теперь блокируются любые обращения к System V IPC
Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API.
Несколько странно блокировать SysV и ничего не делать про POSIX вариант.
Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #17, #25, #27, #33, #42

7. Сообщение от Аноним (7), 12-Май-18, 13:53 +/–

И хорошо и плохо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #32

8. Сообщение от Аноним (-), 12-Май-18, 13:56 +/–

Зачем эти возможности изначально?

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (-), 12-Май-18, 14:16 +/–

Эти ламерозные скриптокидозники так до сих пор и не смогли в clone() с отпиливанием браузера в приватные namespaces, чтобы атакующий по всей системе не шарился? Хромиум это делает уже лет, наверное, пять, если не больше. И кода там для этого мизер, а эффект от него - очень даже.

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (-), 12-Май-18, 14:22 +/–

> Несколько странно блокировать SysV и ничего не делать про POSIX вариант.
Это мозилла, они только и умеют что "безопасные" просмотрщики PDF на JS наворачивать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #24, #43

15. Сообщение от Аноним (-), 12-Май-18, 15:18 +/–

>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать не будет?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

16. Сообщение от X4asd (ok), 12-Май-18, 15:29 +1 +/–

> В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
а также (не включено) в Arch Linux и куче других линуксов.
проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают!
вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

17. Сообщение от пох (?), 12-Май-18, 15:56 –1 +/–

> Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #20

20. Сообщение от Аноним (-), 12-Май-18, 16:01 +2 +/–

> по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь
> линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.
Потому что отличаются в деталях, а тестить разработчику среднего пошиба один черт не на чем. Поэтому соляра может до упора какой там еще /dev/poll реализовывать, или что там у нее. Но лично мне будет не на чем это протестировать. Да и плевать мне как оно там работает - я это не видел и не увижу никогда, имхо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #36

21. Сообщение от Аноним (-), 12-Май-18, 16:06 –2 +/–

> проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения
> разрешается делать user_namespaces, а все остальные линуксы этого избегают!
Еще дебиан и почти все его деривативы забыл. Всего ничего. А так что там осталось то? Арч и гента у чокнутых скрипткидисов? На них ориентироваться себе дороже, там двух одинаковых систем не найдешь, поэтому у одного не заработает одно, у другого другое, у третьего третье, а разработчику при виде всего этого останется разве что застрелиться, потому что нормально работать это месиво не будет в принципе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #39

24. Сообщение от Kuromi (ok), 12-Май-18, 16:48 +/–

А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально закрыт, наработки в мусорку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #31

25. Сообщение от Kuromi (ok), 12-Май-18, 16:52 +1 +/–

>> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений
> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
Как будто это нвовость. Не буду напоминать про отсутвие аппаратного декодирования видео, вялую разрабку аппаратного ускорения композинга и вывода на экран под Линуксом (притом что под Виндоус это все уже официально есть), так они даже свои WebExtentions под Линуксом в отдельном потоке не ерализовали. Было в Виндоус, кажется начиная с 60-ого есть и под Макинтошем, Линукс? "Может быть в 2018-ом".
И это при том, что есть пара непритяных багов с WebEXt которые решаются именно включением отдельного процесса, их, соотвественно, отдельно не исправляют - остается только ждать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

26. Сообщение от Kuromi (ok), 12-Май-18, 16:56 +1 +/–

>>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
> Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать
> не будет?
Будет, если вручную включить user namespaces. Начиная с 7.2 в Рэд Хате оно есть, надо только включить - https://ru.scribd.com/document/357498357/User-Namespace-in-R...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от Kuromi (ok), 12-Май-18, 17:15 +/–

> Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где
> собственно это изменение делали (
Вот ваша ссылочка в Багзиллу - https://bugzilla.mozilla.org/show_bug.cgi?id=1376910
Но боюсь искомого ответа ПОЧЕМУ там нет. Могу только предположить что 1) до POSIX IPC еще не дошли руки, все таки играничения наращиваются постепенно, да и разработчков там не бесконечное количество 2) блокируют все что возможно заблокировать, так как такая тенденция

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

29. Сообщение от Аноним (-), 12-Май-18, 18:20 +/–

Противоречивая новость. Так и не понял стало лучше или хуже. юзер что-то там дырявое, то что не дырявое позволяет получить права рута.
А между тем фокс в firejail не работает. Собственным изоляциям фокса доверия нет.
Работает с таким конфигом, подсмотренным в тырнете, на сколько это безопасно? Или тупо вся изоляция выключена?
#seccomp
seccomp.drop @clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,@reboot,@resources,@swap,acct,add_key,bpf,fanotify_init,io_cancel,io_destroy,io_getevents,io_setup,io_submit,ioprio_set,kcmp,keyctl,mount,name_to_handle_at,nfsservctl,ni_syscall,open_by_handle_at,personality,pivot_root,process_vm_readv,ptrace,remap_file_pages,request_key,setdomainname,sethostname,syslog,umount,umount2,userfaultfd,vhangup,vmsplice

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #35

30. Сообщение от Аноним (-), 12-Май-18, 19:37 +2 +/–

Речь идет об очередных «"улучшениях" в файрфоксе».
Думаю, ты знаешь, что такое «"улучшения" в файрфоксе» и как к ним относиться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (-), 12-Май-18, 20:21 +2 +/–

> А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально
> закрыт, наработки в мусорку.
Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую. Там как-то больше результата и меньше хипстерского булшита. Не скажу что это здорово, ранние файрфоксы нравились больше. Версии так до 3 были очень даже. Но потом вместо разработчиков пришли маркетологи и все изгадили, про#$%в все достоинства программы и ничего не сделав взамен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (-), 12-Май-18, 20:22 +2 +/–

> И хорошо и плохо.
Критическая уязвимость Шредингера. Wait, oh shi-!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

33. Сообщение от КО (?), 12-Май-18, 20:25 +/–

>Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
И это коментарий на Linux специфичную фичу. Которой все одно почти никто в здравом уме пользоваться не будет. Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. Вот ее и не стали описывать. Ну как не стали, нормальные пользователи линя могли и в версионке посмотреть. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #40, #47

34. Сообщение от Аноним (-), 12-Май-18, 20:50 +/–

Оно включается после обновления или нужно самому включать?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

35. Сообщение от КО (?), 12-Май-18, 20:53 +/–

>Так и не понял стало лучше или хуже.
Ну как бы лучше, но если дать рута браузеру. А там, как повезет. :)
Интересно, почему они просто не сделали отдельный процесс со своим контекстом того же Selinux, и никакого рута не надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

36. Сообщение от пох (?), 12-Май-18, 21:43 –3 +/–

> Потому что отличаются в деталях
user namespaces - это не детали, это мертвый технологический тупик, в котором линукс по уши увяз.
ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.
> Но лично мне будет не на чем это протестировать.
угу, виртуалки уже запрещены, за них десять лет дают?
(и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными платформами, и собрать ее на деньги мазилы тоже никак - все ушли на равные права п-сам и членодевкам)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #41, #54

37. Сообщение от пох (?), 12-Май-18, 22:01 +/–

> Ну как бы лучше, но если дать рута браузеру. А там, как
не браузеру. всем подряд. Ну, правда, специального такого рута, который как бы есть а как бы его нет.
но иногда он, внезапно, обратно есть ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #49, #56

38. Сообщение от Kuromi (ok), 12-Май-18, 22:52 +/–

Если настройки sandbox-а руками не меняли раньше, то само включится. Если меняли, то надо в about:config перевести security.sandbox.content.level в 4

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Арчевод (?), 12-Май-18, 23:11 +4 +/–

Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали пачками находить уязвимости, выключили до лучших времен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #55

40. Сообщение от PereresusNeVlezaetBuggy (ok), 12-Май-18, 23:16 +/–

Причём тут рут? Запретить браузеру заливать в Интернет мои файлы без спроса, или там микрофоном пользоваться, или программы какие запускать — по-моему, не так уж плохо.
А фича эта не совсем Linux-специфическая, сейчас обкатывается аналогичный патч для OpenBSD, использующий pledge.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

41. Сообщение от Аноним (-), 12-Май-18, 23:58 +/–

Что там, в тупике-то?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

42. Сообщение от Аноним (-), 13-Май-18, 01:00 +/–

> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
Совсем не правда, линуксоид. Про мак всегда пишут. Про андроид тоже. Так что ты один в своей печали вместе с бсд, не стоит на винду злиться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #44

43. Сообщение от Аноним (-), 13-Май-18, 01:02 –1 +/–

А в чём твои претензии? С некоторых пор (57) pdf.js безопаснее системных просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.
https://github.com/The-OP/Fox/commit/cae3ccbcbc30921a6c3cae3...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #46, #53

44. Сообщение от анон (?), 13-Май-18, 03:36 +1 +/–

А при чём тут bsdшнники?Мы локти не кусаем в ожидании вендокопца.Пилим себе потихоньку,пока остальные нас хоронят ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #52

46. Сообщение от Аноним (-), 13-Май-18, 21:56 +4 +/–

Так безопасен, что Владимир Палант (изначальный автор адблока) накопал там кучу rce (в привилегированном контексте) уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (-), 13-Май-18, 21:59 +/–

>>Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность.
для работы с capability root не нужен. firejail прекрасно без рута работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

49. Сообщение от КО (?), 14-Май-18, 09:26 +/–

Он не внезапно, он закономерно.
Ядро это, что-то типа творчества Франкенштейна. И одни части, ради которых это задумывалось, в курсе концепции "царь то не настоящий". А авторы других об этом никогда и не задумывались. Пока все не прошерстить и не переписать, так и будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

50. Сообщение от Hdddd (?), 14-Май-18, 11:18 +/–

> Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог)
Вопрос знатокам: а как тогда я могу сохранять или аплоадить файлы, ведь я должен увидеть пустой каталог при открытии соотв. диалогового окна?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

51. Сообщение от Ан (??), 14-Май-18, 11:59 +1 +/–

Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса из коробки.
Доки из фокса напрямую не открываются в либре - это минус.
Очевидно, никакой втроенной изоляции нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от Аноним (-), 14-Май-18, 19:01 +/–

За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

53. Сообщение от Аноним (-), 14-Май-18, 19:44 +/–

> просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.
Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплевав на рассказы про "безопасность". Кроссплатформенно. Извини но настолько грубой нестыковки наблюдаемых реалий и заявлений разработчиков в вопросах безопасности достаточно и 1 раз для переоценки ситуации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

54. Сообщение от Аноним (-), 14-Май-18, 20:21 +/–

> user namespaces - это не детали, это мертвый технологический тупик,
На уровне технологий и реализации никаких фатальных провалов которые бы меня коробили я на самом деле не вижу. А то что к изначально не предназначенному для таких развлекух кернелу оно прикручивается сложно и с дурными проблемами - понимаемо. Но, знаешь, "with enough thrust, pigs fly just fine". Собственно главная заслуга Торвальдса - thrust.
> в котором линукс по уши увяз.
Рассусоливания о том как могло бы быть, сидючи с голым задом не возбуждают. Проприетарные системы - где-то там, не у меня. Мне они бесполезны. И какие практически значимые варианты остаются?
> ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.
Как-то так говорили про x86 разработчики правильных высокопарных железок. И большинства этих железок с нами (уже) нет, а зачастую и фирм их сделавших. Даже у интеля был совершенно донкихотский проект, задолго до итаника. Но невзрачный 386, запасной вариант для отмахивания от конкурентов на время строительства светлого будушего - оказался дешевле и лучше. А светлое будущее с програмизмом на Аде - догоняет призрак коммунизма.
> угу, виртуалки уже запрещены, за них десять лет дают?
Нет, но для меня это большое приключение сильно в сторону, без понятных профитов при ощутимых затратах времени и сил. Как мне кажется остальные похоже считают. Поэтому максимум на что солярщики могут уповать - что если они пришлют патч, его включат в проект и не выкинут пока кто-то из тех кому соляра позарез нужна будет майнтайнить. Но поскольку среди солярщиков много высокопарных админов и мало кодеров, вероятность такого расклада...
> (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными
> платформами, и собрать ее на деньги мазилы тоже никак - все
> ушли на равные права п-сам и членодевкам)
Я думаю что им все это просто не надо, прикидывая соотношение долботни и ради чего она затевается. Они для линя то нормально сабж сделать не могут, хотя там несколько сисколов, и вообще, если даже не знать каких, готовую запускалку можно у хромиума скопипи...ть. А ты им про соляру. Ты с какой планеты? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

55. Сообщение от Аноним (-), 14-Май-18, 20:27 +/–

> Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали
> пачками находить уязвимости, выключили до лучших времен.
Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется. Это уж увы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #57

56. Сообщение от Аноним (-), 14-Май-18, 20:29 +/–

> но иногда он, внезапно, обратно есть ;-)
При том основы этого бардака заложили как ни странно древние юниксы и POSIX. А вот в линухе с его capabilities - даже если я кому-то и дам CAP_NET_ADMIN, сеть он конечно перекорежить сможет, но вот например в блочный девайс записать как настоящий рут - да сейчас.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

57. Сообщение от Аноним (-), 15-Май-18, 09:33 +/–

> Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы
> быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется.
> Это уж увы.
Уважаемый гуру, подскажите пожалуйста, какой другой "кернель" "был заточен на то чтобы быть НАСТОЛЬКО многопользовательским"? И, желательно, под более-менее свободной лицензией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (-), 12-Май-18, 12:33	+/–
Т.е. теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (-), 12-Май-18, 12:37	+/–
Это плохо или хорошо?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #7

6. Сообщение от Stax (ok), 12-Май-18, 13:48	+4 +/–
> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. > Также теперь блокируются любые обращения к System V IPC Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API. Несколько странно блокировать SysV и ничего не делать про POSIX вариант. Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #17, #25, #27, #33, #42

7. Сообщение от Аноним (7), 12-Май-18, 13:53	+/–
И хорошо и плохо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #32

8. Сообщение от Аноним (-), 12-Май-18, 13:56	+/–
Зачем эти возможности изначально?
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Аноним (-), 12-Май-18, 14:16	+/–
Эти ламерозные скриптокидозники так до сих пор и не смогли в clone() с отпиливанием браузера в приватные namespaces, чтобы атакующий по всей системе не шарился? Хромиум это делает уже лет, наверное, пять, если не больше. И кода там для этого мизер, а эффект от него - очень даже.
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от Аноним (-), 12-Май-18, 14:22	+/–
> Несколько странно блокировать SysV и ничего не делать про POSIX вариант. Это мозилла, они только и умеют что "безопасные" просмотрщики PDF на JS наворачивать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #24, #43

15. Сообщение от Аноним (-), 12-Май-18, 15:18	+/–
>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать не будет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

16. Сообщение от X4asd (ok), 12-Май-18, 15:29	+1 +/–
> В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. а также (не включено) в Arch Linux и куче других линуксов. проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают! вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #21

17. Сообщение от пох (?), 12-Май-18, 15:56	–1 +/–
> Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #20

20. Сообщение от Аноним (-), 12-Май-18, 16:01	+2 +/–
> по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь > линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету. Потому что отличаются в деталях, а тестить разработчику среднего пошиба один черт не на чем. Поэтому соляра может до упора какой там еще /dev/poll реализовывать, или что там у нее. Но лично мне будет не на чем это протестировать. Да и плевать мне как оно там работает - я это не видел и не увижу никогда, имхо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #36

21. Сообщение от Аноним (-), 12-Май-18, 16:06	–2 +/–
> проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения > разрешается делать user_namespaces, а все остальные линуксы этого избегают! Еще дебиан и почти все его деривативы забыл. Всего ничего. А так что там осталось то? Арч и гента у чокнутых скрипткидисов? На них ориентироваться себе дороже, там двух одинаковых систем не найдешь, поэтому у одного не заработает одно, у другого другое, у третьего третье, а разработчику при виде всего этого останется разве что застрелиться, потому что нормально работать это месиво не будет в принципе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #39

24. Сообщение от Kuromi (ok), 12-Май-18, 16:48	+/–
А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально закрыт, наработки в мусорку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #31

25. Сообщение от Kuromi (ok), 12-Май-18, 16:52	+1 +/–
>> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений > Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. Как будто это нвовость. Не буду напоминать про отсутвие аппаратного декодирования видео, вялую разрабку аппаратного ускорения композинга и вывода на экран под Линуксом (притом что под Виндоус это все уже официально есть), так они даже свои WebExtentions под Линуксом в отдельном потоке не ерализовали. Было в Виндоус, кажется начиная с 60-ого есть и под Макинтошем, Линукс? "Может быть в 2018-ом". И это при том, что есть пара непритяных багов с WebEXt которые решаются именно включением отдельного процесса, их, соотвественно, отдельно не исправляют - остается только ждать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

26. Сообщение от Kuromi (ok), 12-Май-18, 16:56	+1 +/–
>>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. > Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать > не будет? Будет, если вручную включить user namespaces. Начиная с 7.2 в Рэд Хате оно есть, надо только включить - https://ru.scribd.com/document/357498357/User-Namespace-in-R...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

27. Сообщение от Kuromi (ok), 12-Май-18, 17:15	+/–
> Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где > собственно это изменение делали ( Вот ваша ссылочка в Багзиллу - https://bugzilla.mozilla.org/show_bug.cgi?id=1376910 Но боюсь искомого ответа ПОЧЕМУ там нет. Могу только предположить что 1) до POSIX IPC еще не дошли руки, все таки играничения наращиваются постепенно, да и разработчков там не бесконечное количество 2) блокируют все что возможно заблокировать, так как такая тенденция
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

29. Сообщение от Аноним (-), 12-Май-18, 18:20	+/–
Противоречивая новость. Так и не понял стало лучше или хуже. юзер что-то там дырявое, то что не дырявое позволяет получить права рута. А между тем фокс в firejail не работает. Собственным изоляциям фокса доверия нет. Работает с таким конфигом, подсмотренным в тырнете, на сколько это безопасно? Или тупо вся изоляция выключена? #seccomp seccomp.drop @clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,@reboot,@resources,@swap,acct,add_key,bpf,fanotify_init,io_cancel,io_destroy,io_getevents,io_setup,io_submit,ioprio_set,kcmp,keyctl,mount,name_to_handle_at,nfsservctl,ni_syscall,open_by_handle_at,personality,pivot_root,process_vm_readv,ptrace,remap_file_pages,request_key,setdomainname,sethostname,syslog,umount,umount2,userfaultfd,vhangup,vmsplice
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30, #35

30. Сообщение от Аноним (-), 12-Май-18, 19:37	+2 +/–
Речь идет об очередных «"улучшениях" в файрфоксе». Думаю, ты знаешь, что такое «"улучшения" в файрфоксе» и как к ним относиться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

31. Сообщение от Аноним (-), 12-Май-18, 20:21	+2 +/–
> А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально > закрыт, наработки в мусорку. Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую. Там как-то больше результата и меньше хипстерского булшита. Не скажу что это здорово, ранние файрфоксы нравились больше. Версии так до 3 были очень даже. Но потом вместо разработчиков пришли маркетологи и все изгадили, про#$%в все достоинства программы и ничего не сделав взамен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (-), 12-Май-18, 20:22	+2 +/–
> И хорошо и плохо. Критическая уязвимость Шредингера. Wait, oh shi-!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

33. Сообщение от КО (?), 12-Май-18, 20:25	+/–
>Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. И это коментарий на Linux специфичную фичу. Которой все одно почти никто в здравом уме пользоваться не будет. Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. Вот ее и не стали описывать. Ну как не стали, нормальные пользователи линя могли и в версионке посмотреть. :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #40, #47

34. Сообщение от Аноним (-), 12-Май-18, 20:50	+/–
Оно включается после обновления или нужно самому включать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38

35. Сообщение от КО (?), 12-Май-18, 20:53	+/–
>Так и не понял стало лучше или хуже. Ну как бы лучше, но если дать рута браузеру. А там, как повезет. :) Интересно, почему они просто не сделали отдельный процесс со своим контекстом того же Selinux, и никакого рута не надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #37

36. Сообщение от пох (?), 12-Май-18, 21:43	–3 +/–
> Потому что отличаются в деталях user namespaces - это не детали, это мертвый технологический тупик, в котором линукс по уши увяз. ТАК это делать больше никто и нигде не будет, поскольку насмотрелись. > Но лично мне будет не на чем это протестировать. угу, виртуалки уже запрещены, за них десять лет дают? (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными платформами, и собрать ее на деньги мазилы тоже никак - все ушли на равные права п-сам и членодевкам)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #41, #54

37. Сообщение от пох (?), 12-Май-18, 22:01	+/–
> Ну как бы лучше, но если дать рута браузеру. А там, как не браузеру. всем подряд. Ну, правда, специального такого рута, который как бы есть а как бы его нет. но иногда он, внезапно, обратно есть ;-)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #49, #56

38. Сообщение от Kuromi (ok), 12-Май-18, 22:52	+/–
Если настройки sandbox-а руками не меняли раньше, то само включится. Если меняли, то надо в about:config перевести security.sandbox.content.level в 4
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34

39. Сообщение от Арчевод (?), 12-Май-18, 23:11	+4 +/–
Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали пачками находить уязвимости, выключили до лучших времен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #55

40. Сообщение от PereresusNeVlezaetBuggy (ok), 12-Май-18, 23:16	+/–
Причём тут рут? Запретить браузеру заливать в Интернет мои файлы без спроса, или там микрофоном пользоваться, или программы какие запускать — по-моему, не так уж плохо. А фича эта не совсем Linux-специфическая, сейчас обкатывается аналогичный патч для OpenBSD, использующий pledge.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33

41. Сообщение от Аноним (-), 12-Май-18, 23:58	+/–
Что там, в тупике-то?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36

42. Сообщение от Аноним (-), 13-Май-18, 01:00	+/–
> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. Совсем не правда, линуксоид. Про мак всегда пишут. Про андроид тоже. Так что ты один в своей печали вместе с бсд, не стоит на винду злиться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #44