https://m.opennet.dev/openforum/vsluhforumID3/114297.html В недавно выпущенном релизе Firefox 60 (https://www.opennet.ru/opennews/art.shtml?num=48565) была существенно улучшена (https://www.morbo.org/2018/05/linux-sandboxing-improvements-in_10.html) sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level.<br><br><br>Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвим https://m.opennet.dev/openforum/vsluhforumID3/114297.html#57 Tue, 15 May 2018 06:33:29 GMT &gt; Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы <br>&gt; быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется. <br>&gt; Это уж увы.<br><br>Уважаемый гуру, подскажите пожалуйста, какой другой "кернель" "был заточен на то чтобы быть НАСТОЛЬКО многопользовательским"? И, желательно, под более-менее свободной лицензией.<br><br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#56 Mon, 14 May 2018 17:29:27 GMT &gt; но иногда он, внезапно, обратно есть ;-) <br><br>При том основы этого бардака заложили как ни странно древние юниксы и POSIX. А вот в линухе с его capabilities - даже если я кому-то и дам CAP_NET_ADMIN, сеть он конечно перекорежить сможет, но вот например в блочный девайс записать как настоящий рут - да сейчас.<br><br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#55 Mon, 14 May 2018 17:27:39 GMT &gt; Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали <br>&gt; пачками находить уязвимости, выключили до лучших времен.<br><br>Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется. Это уж увы.<br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#54 Mon, 14 May 2018 17:21:24 GMT &gt; user namespaces - это не детали, это мертвый технологический тупик, <br><br>На уровне технологий и реализации никаких фатальных провалов которые бы меня коробили я на самом деле не вижу. А то что к изначально не предназначенному для таких развлекух кернелу оно прикручивается сложно и с дурными проблемами - понимаемо. Но, знаешь, "with enough thrust, pigs fly just fine". Собственно главная заслуга Торвальдса - thrust.<br><br>&gt; в котором линукс по уши увяз.<br><br>Рассусоливания о том как могло бы быть, сидючи с голым задом не возбуждают. Проприетарные системы - где-то там, не у меня. Мне они бесполезны. И какие практически значимые варианты остаются?<br><br>&gt; ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.<br><br>Как-то так говорили про x86 разработчики правильных высокопарных железок. И большинства этих железок с нами (уже) нет, а зачастую и фирм их сделавших. Даже у интеля был совершенно донкихотский проект, задолго до итаника. Но невзрачный 386, запасной вариант для отмахивания от конкурентов на время стро https://m.opennet.dev/openforum/vsluhforumID3/114297.html#53 Mon, 14 May 2018 16:44:58 GMT &gt; просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать. <br><br>Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплевав на рассказы про "безопасность". Кроссплатформенно. Извини но настолько грубой нестыковки наблюдаемых реалий и заявлений разработчиков в вопросах безопасности достаточно и 1 раз для переоценки ситуации.<br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#52 Mon, 14 May 2018 16:01:31 GMT За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.<br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#51 Mon, 14 May 2018 08:59:27 GMT Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса из коробки.<br>Доки из фокса напрямую не открываются в либре - это минус.<br>Очевидно, никакой втроенной изоляции нет. <br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#50 Mon, 14 May 2018 08:18:31 GMT &gt; Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог)<br><br>Вопрос знатокам: а как тогда я могу сохранять или аплоадить файлы, ведь я должен увидеть пустой каталог при открытии соотв. диалогового окна?<br> https://m.opennet.dev/openforum/vsluhforumID3/114297.html#49 Mon, 14 May 2018 06:26:29 GMT Он не внезапно, он закономерно.<br>Ядро это, что-то типа творчества Франкенштейна. И одни части, ради которых это задумывалось, в курсе концепции "царь то не настоящий". А авторы других об этом никогда и не задумывались. Пока все не прошерстить и не переписать, так и будет.<br>