Ist Firefox wirklich so unsicher, weil es keine Sandbox wie Chrome gibt?

1169
Tiago

Ich verwende jetzt Firefox anstelle von Google Chrome für den täglichen Gebrauch. Allerdings habe ich in einigen Websites gelesen, dass Firefox an Sicherheit fehlt, während er bei Datenschutz und Chrome besser ist, und umgekehrt. Ist Firefox wirklich weniger sicher, weil es keine Sandbox für den allgemeinen Gebrauch gibt? Ich weiß, dass es eine Sandbox für Flash, DRM usw. verwendet. Bin ich falsch und das ist der gleiche Fall in Chrome oder nicht, weil ich nicht so viele Informationen darüber finden konnte. Ich verwende bereits uBlock Origin. Ist "Firejail" eine gute Sandbox für Firefox für den täglichen Gebrauch?

Ich entschuldige mich für einen Fehler in meinem Englisch.

Weitere Informationen zu "firejail": https://firejail.wordpress.com/ Mein Betriebssystem ist: Linux Mint 18.3

1
Hat Firefox 56+ tatsächlich eine Sandbox? Ramhound vor 5 Jahren 2
Ganz zu schweigen von Firefox mit Noskripten und einem versierten Benutzer ist sicherer als Chrom. Frank Thomas vor 5 Jahren 3

2 Antworten auf die Frage

4
Frank Thomas

Wie Ramhound darauf hinweist, hat Firefox Skript-Laufzeit-Sandboxen, aber Firejail ist etwas ganz anderes. Weder Chrome noch Firefox versuchen, das zu tun, was Firejail tut.

Firejail ist keine Skriptlaufzeit-Sandbox, da sie üblicherweise in Browser integriert ist, sondern eine obligatorische Zugriffskontrollschicht außerhalb des Browsers, wie Selinux oder Novell AppArmor . Es isoliert den gesamten Browser (oder andere Nicht-Browser-Prozesse) und nicht nur bestimmte Bereiche innerhalb der Laufzeitkomponenten des Browsers. Sie können also Beschränkungen für die Auswirkungen des Browsers auf Ihr System festlegen, falls die Sandbox des Browsers durch neue Angriffe beschädigt wird der benutzer macht etwas unglaublich dummes. Sie können so etwas tun, als würden Sie behaupten, dass ein Prozess nur auf bestimmte Ressourcen zugreifen kann und andere Vorgänge blockiert.

Wenn ich eine MAC-Schicht für meinen Browser benötige, würde ich SELinux oder AppArmor (was von den Betreibern meiner Distribution bevorzugt wird) oder sogar eine virtuelle Maschine zur vollständigen Isolierung verwenden.

2
dsstorefile1

Das Elektrolysis-Projekt von Mozilla hat es seinem Browser ermöglicht, die gleichen Sandboxing-Technologien zu nutzen, die Chrome durch die Implementierung einer Multi-Prozess-Architektur realisiert, die einen privilegierten Prozess für die Verwaltung des Browser-Chrome und unberechtigte (untergeordnete) Prozesse für die Verarbeitung nicht vertrauenswürdiger (Web-) Inhalte verwendet. Die Multiprocess-Architekturen der Browser sind etwas komplexer, aber das ist der Kern der Dinge.

Ab Firefox 57 und höher unter Linux 1 verwendet der Release-Zweig von Firefox dieselben Kernfunktionen wie Chrome für das Sandboxing. Beide Browser verwenden seccomp-BPF, um den Zugriff auf Zugriffsprozesse zu beschränken, um die Angriffsfläche zu verringern, und die Inhaltsprozesse (untergeordnete Prozesse) beider Browser werden entweder durch einen Setuid-Wrapper (Chrome Legacy-Fallback) oder durch unprivilegierte Benutzernamensräume (Firefox und Chrome in modernen Kerneln) abgeschnitten ). 2, 3

Aus einer übergeordneten Perspektive sind die Sandboxen von Firefox und Chrome daher gleich stark.