Forum Debian Users Gang

Nie wiem czy nie tak źle. Bez NoScripta jakoś żyję, ale bez Firebuga bywa ciężko.
Ciekawe, czy WebDeveloper też ma takie przypadłości?

kurczę nie widzi mi się zmiana przeglądarki, noscripta tez używam
Jacekalex a profil apparmora nałożony na ff jakoś go chromi przed takimi babolami?

Ostatnio edytowany przez hi (2016-04-07 14:21:06)

hi napisał(-a):

kurczę nie widzi mi się zmiana przeglądarki, noscripta tez używam
Jacekalex a profil apparmora nałożony na ff jakoś go chromi przed takimi babolami?

AA chroni system  i Twoje pliki przed potencjalnie groźnym programem, a nie sam program.
W przypadku samego programu AA np powstrzyma go przed eskalacją uprawnień poprzez np pobranie z netu i odpalenie z cache jakiejś binarki z bitem SUID.
W ten sposób całkowicie masz z głowy np bardzo popularną dziurę z Windowsa.
https://niebezpiecznik.pl/post/dziura-w-windows-dll … ary-planting/

uzytkownikubunt napisał(-a):

ethanak napisał(-a):

Nie wiem czy nie tak źle. Bez NoScripta jakoś żyję, ale bez Firebuga bywa ciężko.
Ciekawe, czy WebDeveloper też ma takie przypadłości?

Podatne rozszerzenie to nie to samo złośliwe.
Do bycia ofiarą ataku potrzebny jest:
1. Firefox
2. Posiadanie podatnego rozszerzenia
3. Posiadanie złośliwego rozszerzenia.

Innowacją w tym ataku jest jego ukrycie. Zdecydowanie trudniej wykryć takie złośliwe rozszerzenie antywirusom i heurystyce, której są poddawane podczas dołączania do http://addons.mozilla.org/

Radzę nie zapominać, ze atak można przeprowadzić przy pomocy czystego JS, wykorzystując podatność Noscripta czy innego JSblockera.
I to nie rozszerzenia są winne, błąd jest w architekturze programu, w libXUL.so

Firefox (i inne przeglądarki też), zaczynają przypominać maszyny wirtualne, które w brzuchu mają osobny system operacyjny do odpalania różnych skryptów (przy okazji u mnie FF czy Chrome często waży więcej, niż maszyna KVM z Debkiem albo BSD :P ).
Dlatego powinny wewnątrz silnika mieć taką kontrolę uprawnień, jaką na poziomie Linuxa zapewnia Kernel i Glibc.

Cały problem jest w braku kontroli uprawnień dla rozszerzeń wewnątrz Firefoxa, i np wszystkie mogą odczytać hasła zapisane w przeglądarce,
albo modyfikować interfejs.

Na szczęście Mozilla właśnie przepisuje silnik Firefoxa, mają być karty w osobnych procesach, mają być rozszerzenia wspólne z Chrome czy Operą,
także jest okazja poprawić wszystkie niedoskonałości.

Ostatnio edytowany przez Jacekalex (2016-04-07 18:54:04)

no i co się stanie z rozszerzeniami, które muszą mieć dostęp do całej przeglądarki?

np. po to, aby mieć dostęp do całości?
świat się nie kończy na colorzilli... manager zakładek potrzebuje (ciekawostka) dostępu do zakładek. świętej pamięci firevox (a także dzisiejsze przeglądarkowe tts-y) potrzebują albo sapi pod windowsem, albo możliwości uruchomienia zewnętrznej aplikacji pod linuksem... ogólnie tego, co ma dostęp do czegoś co jest poza kontrolą przeglądarki.
i firefox nie jest tu osamotniony - jeśli używasz chromevoxa to odpowiednio spreparowana strona może mieć pełny dostęp do twojego syntezatora...
mechanizm pełnego dostępu jest czasem potrzebny - problem raczej w kontroli nad rozszerzenuami takowego wymagającymi.

Jacekalex napisał(-a):

AA chroni system  i Twoje pliki przed potencjalnie groźnym programem, a nie sam program.

wiem wiem źle się wyraziłem, chodziło mi czy aa uchroni mi system gdy przykładowo zostanie wykorzystana podatność w jakimś dodatku powiedzmy w noscript z którego korzystam i czy mógłby ktoś zapodać jakiś dobry profil aa dla ff/iceweasela

Ostatnio edytowany przez hi (2016-04-07 20:01:15)