Действительно ли Firefox небезопасен из-за отсутствия песочницы, как Chrome?

1119
Tiago

Сейчас я использую Firefox вместо Google Chrome для повседневного использования, однако на некоторых сайтах я читал, что Firefox не обладает безопасностью, но лучше работает с конфиденциальностью, а Chrome - наоборот. Действительно ли Firefox менее безопасен из-за отсутствия песочницы для общего пользования? Я знаю, что он использует «песочницу» для Flash, DRM и т. Д. Я ошибаюсь, и это тот же случай в Chrome или нет, потому что я не смог найти столько информации об этом. Я уже использую uBlock Origin. Будет ли «firejail» хорошей песочницей для firefox для ежедневного использования?

Я прошу прощения за любую ошибку в моем английском.

Больше информации о "firejail": https://firejail.wordpress.com/ Моя ОС: Linux Mint 18.3

1
Кроме Firefox 56+ на самом деле есть песочница? Ramhound 6 лет назад 2
не говоря уже о Firefox с noscripts и опытный пользователь безопаснее, чем Chrome когда-либо будет. Frank Thomas 6 лет назад 3

2 ответа на вопрос

4
Frank Thomas

Как отметил Ramhound, в Firefox есть песочницы времени выполнения скриптов, но Firejail - это нечто совершенно другое. Ни Chrome, ни Firefox не пытаются делать то, что делает Firejail.

Firejail - это не песочница времени выполнения скрипта, поскольку они обычно встроены в браузеры, но вместо этого он является слоем обязательного контроля доступа вне браузера, как Selinux или Novell AppArmor . Он изолирует весь браузер (или другие процессы, не связанные с браузером), а не только отдельные области в компонентах среды выполнения браузеров, поэтому вы можете установить ограничения на влияние браузеров на вашу систему в случае, если песочница для браузеров будет нарушена новыми атаками, или пользователь делает что-то ужасно глупое. Вы можете сделать что-то вроде утверждения, что процесс может получить доступ только к определенным ресурсам и заблокирует любые другие операции.

Лично, если бы мне понадобился уровень MAC для моего браузера, я бы использовал SELinux или AppArmor (который всегда предпочитают сопровождающие моего дистрибутива) или, что еще лучше, виртуальную машину для полной изоляции.

2
dsstorefile1

Проект Electrolysis в Mozilla позволил браузеру использовать те же технологии песочницы, что и Chrome, благодаря реализации многопроцессорной архитектуры, которая использует привилегированный процесс для управления браузером chrome и процессы непривилегированного содержимого (дочерние) для обработки недоверенного (веб) содержимого. Многопроцессорные архитектуры браузеров немного сложнее, но это суть вещей.

Начиная с Firefox 57 и выше в Linux 1, ветвь релиза Firefox использует те же основные функции, что и Chrome для песочницы. Оба браузера используют seccomp-BPF для ограничения доступа к системным вызовам процесса контента для уменьшения поверхности атаки, а процессы контента (дочерние) обоих браузеров помещаются в «песочницу» либо с помощью оболочки setuid (откат Chrome legacy), либо с непривилегированными пространствами имен пользователей (Firefox и Chrome в современных ядрах). ). 2, 3

Таким образом, с точки зрения высокого уровня, песочницы Firefox и Chrome эквивалентны по прочности.

Похожие вопросы