The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Firefox для OpenBSD реализована поддержка unveil"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от opennews (??), 19-Ноя-19, 08:09 
В Firefox для OpenBSD реализована поддержка изоляции файловой системы при помощи системного вызова unveil(). Необходимые патчи уже приняты в апстрим firefox и войдут в состав Firefox 72...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51890

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Firefox для OpenBSD реализована поддержка unveil"  –4 +/
Сообщение от Аноним (1), 19-Ноя-19, 08:09 
> Ранее аналогичные возможности были добавлены в браузеры Chromium и Iridium.

Гугловцы тоже ничего, потихоньку догоняют файрфокс. Молодцы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Firefox для OpenBSD реализована поддержка unveil"  –2 +/
Сообщение от Аноним (2), 19-Ноя-19, 09:08 
Кто кого догоняет?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "В Firefox для OpenBSD реализована поддержка unveil"  +3 +/
Сообщение от ryoken (ok), 19-Ноя-19, 10:40 
"Кто на ком стоял?" (Простите, не удержался :D )
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 12:34 
> Гугловцы тоже ничего, потихоньку догоняют файрфокс. Молодцы.

В хроме поддержка unveil() появилась раньше, чем в ff.
Авторы патчей в обоих случаях - разработчики OpenBSD/мэйнтейнеры портов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Kuromi (ok), 19-Ноя-19, 18:54 
А что вы хотели, для Мозиллы *BSD - второстепенные (в лучшем случе) ОС. Хотите фичи - пилите сами. Ну вот и результат.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 20:48 
> А что вы хотели, для Мозиллы *BSD - второстепенные (в лучшем случе) ОС. Хотите фичи - пилите сами. Ну вот и результат.

1) Меня всё устраивает.
2) Не только для Мозиллы.
3) Ну так сами и пилят. Unveil/pledge в некоторой степени экспериментальные возможности, логично, что патчи идут от тех, кто ближе к их разработке.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

3. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от йййй (ok), 19-Ноя-19, 09:26 
А в линуксе как с этим? Есть что-то подобное?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Firefox для OpenBSD реализована поддержка unveil"  +3 +/
Сообщение от Serge (??), 19-Ноя-19, 09:33 
AppArmor
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В Firefox для OpenBSD реализована поддержка unveil"  +3 +/
Сообщение от б.б. (?), 19-Ноя-19, 09:36 
в Linux нет единой системы, где всё от ядра до библиотек контролируется и собирается единым способом, поэтому в Linux - только внешние утилиты, изнутри это сделать принципиально невозможно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "В Firefox для OpenBSD реализована поддержка unveil"  –1 +/
Сообщение от ryoken (ok), 19-Ноя-19, 10:41 
Хм.. А Вы Gentoo видели?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от б.б. (?), 19-Ноя-19, 10:45 
а в gentoo есть единая система? наоборот, там можно использовать разные libc, разные не только версии ядер но и системы ядер, разный инит. как там синхронизировать все системные вызовы в ядре и библиотеках?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от ryoken (ok), 19-Ноя-19, 11:47 
Ну я таки больше про то, что собирается там всё одинаково :). (Вот допекает то, что кажется FireFox в зависимостях тащит rust и ещё кто-то тащит Clang).
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от Аноним (21), 19-Ноя-19, 17:45 
> в зависимостях тащит rust и ещё кто-то тащит Clang
> rust
> ещё кто-то

и кто бы это мог быть...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

39. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от ryoken (ok), 20-Ноя-19, 08:53 
> и кто бы это мог быть...

Дада, вот и я теряюсь в догадках :D.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

36. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Аноним (-), 20-Ноя-19, 02:28 
Еще Firefox в зависимостях тащит C++, поскорее бы уже начали чистку.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "В Firefox для OpenBSD реализована поддержка unveil"  –1 +/
Сообщение от Урри (?), 19-Ноя-19, 17:01 
Что именноь невозможно? Использовать seccomp, если он доступен?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 12:44 
Теоретически, seccomp - это что-то подобное pledge (с существенными и принципиальными различиями в реализации). Про аналог unveil я не слышал.
Даже в случае с seccomp знаю лишь много вариантов со сторонними утилитами, а-ля firejail, в таком случае, все ограничения во имя безопасности устанавливаются до запуска программы и должны учитывать поиск ей разделяемых библиотек на диске и т.п. - как следствие, политики должны быть более разрешительные. Не уверен, что слышал о примерах, где seccomp вызвается в коде самой программы, а не в утилите-обёртке.
Pledge/Unveil - это не сорт MAC, а сорт сброса привилегий, т.е. программа инициализируется, подгружает всё необходимое и после этого, перед переходом в основной рабочий цикл "отказывается" от полномочий/доступа к частям ФС при помощи pledge/unveil, а не запускается изначально под ограничениями, установленными администраторами сбоку от логики работы программы.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Аноним (6), 19-Ноя-19, 09:50 
Если на уровне приложения, то seccomp() позволяет на зайчаточном уровне ограничивать видимость. Если на уровне дистрибутива, то apparmor/selinux, но тут уж кто во что горазд.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от Аноним (13), 19-Ноя-19, 12:51 
Это что б никто не пробовал локальные файлы в браузере открывать? А как html документацию из пакетов репозитария открывать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 13:07 
Насчёт ff пока точно не скажу, потому что ещё не тестировал, но в chromium/iridium в опёнке unveil пока не по-умолчанию и есть опция "--enable-unveil", без которой никаких ограничений нет.
Подозреваю, что в каком-то виде (скорее всего, в виде "--disable-unveil" в итоге) опция останется, как раз для таких вот кейсов.
В случае ff не знаю насчёт такой опции, но, с виду, можно разрешить необходимое через настройки в /etc/firefox/.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от йййй (ok), 19-Ноя-19, 13:34 
Как я понял, AppArmor профиль уже включен в Ubunte. Посмотрел, там похоже доступ к каталогам правда ограничен .firefox, Downloads, Public и прочие служебные. Но ведь сохранять в произвольный каталог можно и открывать и произвольного? Или нельзя?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от йййй (ok), 19-Ноя-19, 19:46 
Отвечаю себе ) firefox в списке disable. Так что в ubunte по умолчанию походу ничего подобного нет.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "В Firefox для OpenBSD реализована поддержка unveil"  –2 +/
Сообщение от Аноним (16), 19-Ноя-19, 14:57 
какой только неведомой херней мурзила  не занята...

Поддержки oss без пульсы и прочего трэша в *bsd, не смотря на работавший (когда-то, автор устал гнаться за уходящим паровозом) патч, разумеется, не дождемся.

Это ж не очередная "забота" путем анального огораживания, этак что случайно и для людей можно ж сделать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Firefox для OpenBSD реализована поддержка unveil"  +3 +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 15:26 
> какой только неведомой херней мурзила  не занята...

Причём тут вообще мозилла? Патчи написаны участниками OpenBSD, "заслуга" мозиллы только в том, что она приняла эти патчи в апстрим. Всё.

В OpenBSD у меня звук в ff работает без всякого pulse, так что...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от анонн (ok), 19-Ноя-19, 17:21 
>> какой только неведомой херней мурзила  не занята...
> Причём тут вообще мозилла? Патчи написаны участниками OpenBSD, "заслуга" мозиллы только
> в том, что она приняла эти патчи в апстрим. Всё.

На самом деле, это уже не мало:
https://lwn.net/Articles/482858/
> Roughly 100 new lines of code were all that was required to use Capsicum in Chromium on FreeBSD, largely because the browser was written with privilege separation in mind.

Это в 2012 году было. Гугл-апстрим патчи отклонил, типа "маргинальщина" (позже правда спортировав сам capsicum на пингвина), патчи через пару лет "протухли", все затихло - в итоге хромо-песочницы, емнип, на фре нема.

Вообще, "кросплатформенность" у гугла (вне восхвалений маркетологов) весьма хромает -- все, что не нацелено на OS X, Windows или WSL^W пингвинчика, апстримом зачастую игнорируется:


ls -l /usr/ports/www/chromium/files/|wc -l    
     756
cat /usr/ports/www/chromium/files/*|wc -l                  
   19808

grep -r "^+[^+]"  /usr/ports/www/chromium/files/|wc -l
    3920


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Дон Ягон (ok), 19-Ноя-19, 21:56 
Почему-то был уверен, что pledge+unveil уже влиты в апстрим хромого, а прочитал тебя и засомневался. Надо проверить. Ибо в патчах точно что-то про pledge/unveil есть.

А про capsicum - я вообще не в курсе, как сейчас он развивается. Какие-то истории успеха значительные есть?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

38. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от анонн (ok), 20-Ноя-19, 03:22 
> Почему-то был уверен, что pledge+unveil уже влиты в апстрим хромого, а прочитал
> тебя и засомневался. Надо проверить. Ибо в патчах точно что-то про pledge/unveil есть.

Гложут меня сомнения:
https://github.com/chromium/chromium/search?utf8=%E2�...
(хотя поиск на гитхабе конечно не очень)

> А про capsicum - я вообще не в курсе, как сейчас он
> развивается. Какие-то истории успеха значительные есть?

Все тихо и стабильно, как в гроб^W пирамиде (хотя тулзы из базы потихоньку переводят на него):
https://wiki.freebsd.org/Capsicum

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от Дон Ягон (ok), 20-Ноя-19, 12:33 
> Гложут меня сомнения

Я вполне мог ошибаться. Видимо, и ошибался.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

18. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от xm (ok), 19-Ноя-19, 15:42 
Во FreeBSD Pulseaudio отсутствует в зависимостях Firefox, так что не надо проецировать страдания линуксоидов.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "В Firefox для OpenBSD реализована поддержка unveil"  –1 +/
Сообщение от пох. (?), 19-Ноя-19, 18:33 
то есть вы и это ниасилили? (открывает консоль...опачки...закрывает консоль, чур меня, чур!)

Я просто оставлю это здесь:
# pkg install -n firefox
Updating FreeBSD repository catalogue...
Fetching meta.txz: 100%    944 B   0.9kB/s    00:01
Fetching packagesite.txz: 100%    6 MiB   2.2MB/s    00:03
Processing entries:   0%
Processing entries: 100%
FreeBSD repository update completed. 32774 packages processed.
All repositories are up to date.
The following 121 package(s) will be affected (of 0 checked):

New packages to be INSTALLED:
        firefox: 70.0.1,1
        startup-notification: 0.12_4
        xcb-util: 0.4.0_2,1
        libxcb: 1.13.1
        libXdmcp: 1.1.3
[skip полный набор иксов - но этого им показалось мало!]
        font-misc-ethiopic: 1.0.3_4
[чисто поржать]
        wayland: 1.16.0_1
[иксов недостаточно, нам надо было собрать с вафляндом!]
        dbus: 1.12.12
[конечно же]
        tpm-emulator: 0.7.4_2
[это-то еще зачем?]
        avahi-app: 0.7_2
[здравствуйте!]
        gtk3: 3.24.10_1
[ну конечно]
        gtk2: 2.24.32
[уп-с... а что, одного было мало?]
[ну и на сладкое, самое интересное]
        alsa-plugins: 1.1.1_6
        alsa-lib: 1.1.2_2

Number of packages to be installed: 121

The process will require 902 MiB more space.
173 MiB to be downloaded.

итого - гигабайт мусора, не включая, видимо, ниасиленный пщпщ, это я о вас был слишком хорошего мнения. Зато вот - нате на лопате - эмулятор линуксной альсы, напрочь отсутствующей во фре. Как это дружит с фуфлофоксиным сэндбоксингом - а догадайтесь.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от xm (ok), 19-Ноя-19, 18:45 
Я вот вижу что вы не осилили пойти в порты и убрать галочки с Pulseaudio которая там за каким-то чёртом по умолчанию установлена.
Своё мнение о вас, кстати, я не только не изменил, но и упрочил ;)

UPD. Только что заметил что OSS выпилили оттуда. Н-да...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "В Firefox для OpenBSD реализована поддержка unveil"  –1 +/
Сообщение от пох. (?), 19-Ноя-19, 22:13 
> Я вот вижу что вы не осилили пойти в порты

Я вам продемонстрировал, что лежит в официальных пакетах. Это п-ц покруче тех, что в линуксах - те хоть два gtk не тащат.

Ваше мнение обо мне очень ценно, целый ломанный грош стоит. Продолжайте надувать щеки, тут таких любят - вы умеете убирать галочки, кто бы мог подумать.

> UPD. Только что заметил что OSS выпилили оттуда.

ну надо же.
Что ж это щеконадуватель ниасилил пойти в исходники и быстро впилить обратно?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от имя (ok), 19-Ноя-19, 18:51 
За этой простынёй ещё не видно идущих в комплекте патченых-перепатченых библиотек!

$ sed '/IUSE="/,/"/!d' /usr/portage/www-client/firefox/firefox-70.0.1.ebuild | egrep -o 'system-[^ ]+'
system-av1
system-harfbuzz
system-icu
system-jpeg
system-libevent
system-sqlite
system-libvpx
system-webp

При этом с системным cairo собраться нынче вообще невозможно без погружения в код.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "В Firefox для OpenBSD реализована поддержка unveil"  –1 +/
Сообщение от анонн (ok), 19-Ноя-19, 18:59 
> При этом с системным cairo собраться нынче вообще невозможно без погружения в
> код.

ldd /usr/local/lib/firefox/libxul.so|grep cai
    libcairo-gobject.so.2 => /usr/local/lib/libcairo-gobject.so.2 (0x809669000)
    libcairo.so.2 => /usr/local/lib/libcairo.so.2 (0x809674000)

ldd /usr/local/lib/firefox/libxul.so|grep eve
    libevent-2.1.so.7 => /usr/local/lib/libevent-2.1.so.7 (0x8092de000)

ldd /usr/local/lib/firefox/libxul.so|grep sql
    libsqlite3.so.0 => /usr/local/lib/libsqlite3.so.0 (0x808e5c000)

Но это esr (68).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от имя (ok), 19-Ноя-19, 19:47 
> ldd /usr/local/lib/firefox/libxul.so|grep cai
>  libcairo-gobject.so.2 => /usr/local/lib/libcairo-gobject.so.2 (0x809669000)
>  libcairo.so.2 => /usr/local/lib/libcairo.so.2 (0x809674000)

В системе сборки есть куча приседаний типа переименования символов, чтобы подружить системный cairo (который нужен gtk) со своим патченым (через который собственно страницы рисуют).

> Но это esr (68).

https://github.com/mozilla/gecko-dev/commit/2b0049a09ee48527... случился за год до этого релиза.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

25. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от анонн (ok), 19-Ноя-19, 18:53 
> итого - гигабайт мусора, не включая, видимо, ниасиленный пщпщ, это я о
> вас был слишком хорошего мнения. Зато вот - нате на лопате
> - эмулятор линуксной альсы, напрочь отсутствующей во фре. Как это дружит
> с фуфлофоксиным сэндбоксингом - а догадайтесь.


% pkg options firefox-esr            
firefox-esr - ALSA: on
firefox-esr - CANBERRA: off
firefox-esr - DBUS: on
firefox-esr - DEBUG: off
firefox-esr - FFMPEG: on
firefox-esr - GCONF: on
firefox-esr - JACK: on
firefox-esr - LIBPROXY: off
firefox-esr - OPTIMIZED_CFLAGS: on
firefox-esr - PROFILE: on
firefox-esr - PULSEAUDIO: on
firefox-esr - SNDIO: on
firefox-esr - TEST: off

pkg info -d firefox-esr|grep -c pulse                                          
0
% pkg info -d firefox-esr|grep -c way                                            
0

Держите нас и далее в курсе всех подозрений!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от xm (ok), 19-Ноя-19, 19:21 
Кстати, теперь, вроде бы, достаточно в опциях будет оставить только SNDIO и не тащить всё это pulsealsa-тряхомудие. Сейчас опции отключу. Посмотрим как оно с следующим апдейтом соберётся.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

34. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от пох. (?), 19-Ноя-19, 22:20 
> Посмотрим как оно с следующим апдейтом соберётся.

главное - ни в коем случае не смотреть, работает ли в нем после этого звук.

типикал freebsd-др..ры. Зато у них "в зависимостях пульсаудио нет". (в config есть, в зависимостях - нет. Ну молодцы, чо.)

  

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от xm (ok), 19-Ноя-19, 22:45 
Действительно, странно что опция присутствует но ничего не делает.
Надо майнтайнера пнуть, что ли.
Впрочем, что тут перед хамом распинаться...
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "В Firefox для OpenBSD реализована поддержка unveil"  +1 +/
Сообщение от анонн (ok), 20-Ноя-19, 03:08 
> Действительно, странно что опция присутствует но ничего не делает.
> Надо майнтайнера пнуть, что ли.

Не недо!
Его уже пинали, чтобы выпилил пульсу из зависимостей - в опциях указаны поддерживаемые бэкэнды, см. pkg-message пакета:

> ## Audio backend
> To select non-default audio backend open `about:config` page and
> create `media.cubeb.backend` preference. Supported values are: `alsa`,
> `jack`, `pulse`, `pulse-rust`, `sndio`. Currently used backend can be inspected on `about:support` page.

Любители пульсы могут поставить отдельно (вернее, она у них уже и так наверняка есть) и "наслаждаться".

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "В Firefox для OpenBSD реализована поддержка unveil"  +/
Сообщение от пох. (?), 20-Ноя-19, 10:14 
> Любители пульсы могут поставить отдельно (вернее, она у них уже и так наверняка есть) и

а нелюбители работы через двойную прослойку эмуляторов - не могут (разьве что самостоятельно пересобирать).

> "наслаждаться".

чем пульса хуже работы через эмулятор альсы? Ее не любят именно за то что это совершенно ненужная в большинстве случаев лишняя сущность между программой и звуковым драйвером.
Здесь вы гордо заменили одну ненужно на другую ненужно. С вариантом использования вместо них третьего ненужно - sndio, плохого косплея все того же пщпщ, но от правильных пацанов.

А прямой поддержки native звукового интерфейса фри - у вас как не было, так и нет.

Ну, действительно, не беспокоить же этим уважаемых разработчиков из мурзилы.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру