Forum Debian Users Gang

Nie napisałeś, jaka wersja, i jaki system.

www-client/google-chrome-beta-38.0.2125.101_p1 linguas_pl plugins

Ten na Gentusiu działa w miarę znośnie, można wytrzymać.

To weź jakąś inną wersję, może na stronie Google będzie nowsza.
Albo ewentualnie weź wersję 39 testową, gdzieś tam w google ją można wytargać.
Względnie Chromium, też istnieje, a na Firefoxie też da się przeżyć czas do poprawionej wersji. ;)

Ostatnio edytowany przez Jacekalex (2014-10-10 19:16:03)

davidoski napisał(-a):

Przywróciłem do starszej wersji 37 i chodzi, chociaż nie jest to może najbezpieczniejsze rozwiązanie, jednakże używam Chrome tylko sporadycznie.

W której wersji przeglądarki jest więcej dziur bezpieczeństwa, tej poprzedniej, obecnej, czy tej, co dopiero wyjdzie?
W Firefoxie wygląda to tak, a Chrome też lepsze nie jest, w dodatku chrome-sandbox wskakuje na uprawnienia roota przez bit SUID, więc Chrome jest potencjalnie dużo groźniejszy w przypadku dziury, niż  Firefox czy Opera. ;P


Tymczasem u mnie:

aastatus google
/opt/google/*/nacl_helper_bootstrap (enforce)
/opt/google/*/google-chrome-beta (enforce)
/opt/google/*/chrome-sandbox (enforce)
/opt/google/*/chrome (enforce)
/opt/google/*/chrome///usr/bin/xdg-settings (enforce)
/opt/google/*/chrome///opt/google/*/xdg-settings (enforce)

Pozdrawia Apparmor ;)

SOA#1

Ostatnio edytowany przez Jacekalex (2014-10-11 05:16:59)

uzytkownikubunt napisał(-a):

Czy myślisz, że jeśli ktoś będzie umiał ominąć lub znaleźć bład w zabezpieczniach piaskownicy Chrome, to nie będzie umiał tego zrobić z Apparmorem?

Prawdopodobieństwo że będzie umiał ominąć Apparmora jest znikome dlatego, że o ile ktoś może znać błędy w chrome-sandbox, to informacji o tym, że ten program jest u mnie chroniony systemem ACL tak łatwo nie znajdzie nigdzie, chyba że z tego wątku. :D

A nawet jak jakiś automatyczny boot wykryje, że dziurawy chrome-sandbox jest chroniony jakimś systemem ACL, to w tym nie zawiera się jeszcze informacja, czy to SElinux, Tomoyo czy Apparmor.
Nie zawiera się, bo chrome-sandbox dzięki profilowi Apparmora nie ma dostępu do wrażliwych miejsc w /sys, /proc, /dev  i logów systemowych, żeby wiedzieć, od kogo/czego oberwał w ucho. :D

Apparmor jest pod opieką developerów kernela, i nie miewa krytycznych luk za często, a zabezpieczenia na poziomie kernela są kilka razy twardsze, niż jakakolwiek technika działająca w przestrzeni pracy programu. Kernel Linux tworzą ludzie nieco poważniejsi i bardziej kompetentni, niż ekipa z Cannonical.
Dodatkowo, jak się okaże, że Apparmor ma jakieś wady i dziury (do tej pory nie miał żadnych chyba nigdy), to Chrome dostanie na dokładkę Grsecurity-ACL, a z tamtym systemem ACL to sobie na pewno "każdy poradzi". :D

Dlatego Twoja uwaga o poradzeniu sobie z Apparmorem, to jest poziom gimbusa z neozdrady, który pół godziny temu zobaczył na oczy Ubuntu. :D

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2014-10-11 08:16:07)

www-client/google-chrome-beta-39.0.2171.19_p1

Ja mam tą.