Wie führe ich Firefox im geschützten Modus aus? (dh auf niedrigem Integritätsniveau)

9620
Ian Boyd

Mir ist aufgefallen, dass Firefox im Gegensatz zu Chrome und Internet Explorer nicht in der Stufe "Obligatorisch" (aka Protected Mode, Low Integrity) ausgeführt wird.

Google Chrome:

alt text

Microsoft Internet Explorer:

enter image description here

Mozilla Firefox:

alt text

Den Anweisungen von Microsoft folgend kann ich Firefox manuell in den Modus mit niedriger Integrität erzwingen, indem Folgendes verwendet wird:

icacls firefox.exe /setintegritylevel Low

Allerdings reagiert Firefox nicht gut darauf, nicht genügend Rechte zu haben:

alt text

Ich mag die Sicherheit, zu wissen, dass mein Browser mit weniger Rechten läuft als ich. Gibt es eine Möglichkeit, Firefox im Modus mit niedrigen Rechten auszuführen? Plant Mozilla irgendwann den "geschützten Modus"? Hat jemand eine Problemumgehung für Firefox gefunden, die den Modus mit niedrigen Rechten nicht behandelt?

Aktualisieren

Aus einem Juli-Interview mit Mike Schroepfer, Vice President of Engineering der Mozilla Foundation:

Wir glauben auch an die Verteidigung in der Tiefe und untersuchen den Protected Mode zusammen mit vielen anderen Techniken, um die Sicherheit zukünftiger Versionen zu verbessern.

Nach drei Jahren scheint es keine Priorität zu sein.

Aktualisieren

  • 28.09.2013
  • 5 Jahre später
  • Firefox 24.0
  • unterstützt den geschützten Modus immer noch nicht
9
Herrgott, warum bekommt der IE den Rap "schlechte Sicherheit"? Mark Sowul vor 10 Jahren 0

4 Antworten auf die Frage

4
Dan Walker

Leider gibt es derzeit keine Möglichkeit, Firefox im geschützten Modus auszuführen.

Wenn Sie kein 64-Bit-Windows verwenden, erhalten Sie mit Sandboxie etwas Ähnliches .

Ich habe gerade eine kurze Suche durch Mozillas Bugtracker durchgeführt und nichts bezüglich der Integritätsstufen gefunden. Dies legt nahe, dass es in der Tat ab jetzt nicht geplant ist, sie zu unterstützen. In Anbetracht meiner bisherigen Erfahrungen mit dem Bug-Tracking-System und den Entwicklern halte ich jedoch zwei Möglichkeiten für plausibel: (1) Wenn ich ein Ticket eröffnen würde, in dem nach einem Integritätslevel gefragt wird, würde es innerhalb einer halben Stunde als Duplikat eines anderen Tickets geschlossen mit einem Namen, den niemand suchen konnte, konnte erraten, und (2) die * Idee * der Unterstützung von Windows-spezifischen Funktionen würde viele Entwickler dort erschrecken. Joey vor 14 Jahren 4
Ich habe nie gemerkt, dass Firefox neben Windows auf der Plattform vorhanden ist. Es macht Sinn, dass es eine Mac- und Linux-Version gibt, ich habe nur einen Windows-Download gesehen. Ian Boyd vor 14 Jahren 0
Ich denke, freie und verfügbare VM-Appliances haben dem Sandboxen den Donner gestohlen. kmarsh vor 14 Jahren 0
Oh, und übrigens, die Antwort "Can't do it" wurde als Antwort markiert, da "Can't do" ** eine gültige Antwort ist. Ian Boyd vor 14 Jahren 0
1
Simon Capewell

You can run Firefox in low integrity mode using the following commands:

icacls "C:\Program Files\Mozilla Firefox\Firefox.exe" /setintegritylevel low icacls "C:\Program Files\Mozilla Firefox" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\*username*\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\*username*\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\*username*\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\*username*\Downloads" /setintegritylevel(oi)(ci) low /t

Note that you'll need to run the second batch for each user on your system, customising username, otherwise they'll get a "Firefox is already running" message box.

However this setup does cause the following quirks:

  1. Profile manager may not behave correctly.
  2. You'll get a security warning every time you start Firefox.
  3. Downloads can only be placed in low integrity directories (hence Downloads is marked as low integrity above).
  4. Opening downloads directly from Firefox will generally fail.
Für jeden, der mit dabei ist, sollte beachtet werden, dass die Ausführung dieser Schritte den Zweck des "Protected-Modus-Firefox" im Wesentlichen zunichte macht. Durch das Erlauben von FireFox, an andere Speicherorte (Temp, Mozilla, Downloads) zu schreiben, entfernen Sie den Zweck, dass FF auf der obligatorischen Integritätsstufe ** Low ** ausgeführt wird. Schlimmer ist, dass jetzt ** alle ** Anwendungen mit niedrigem Privileg (dh Chrome, mein Mediaplayer) an diese Speicherorte schreiben können. Mit anderen Worten: Sie gewinnen hier nicht nur nichts, Sie verlieren tatsächlich die Sicherheit. Es ist besser, FF als Standardbenutzer auszuführen und die anderen Ordner in Ruhe zu lassen. Ian Boyd vor 13 Jahren 0
Trotzdem gebe ich dem Artikel immer noch ein +1, weil er illustriert, wie Privilegierungsanwendungen von ** Low ** nur an bestimmten Speicherorten schreiben können. Aber noch einmal: Tu nicht, was diese Antwort sagt. Dies ist ein Beispiel für eine * schlechte * Lösung - beispielsweise das Ändern der Berechtigungen für den Ordner "Windows & Program Files", um allen vollen Zugriff zu ermöglichen, da ein Programm dort schreiben möchte. Du machst die Dinge noch schlimmer. Ian Boyd vor 13 Jahren 0
0
3498DB

Ian, du verstehst nicht, wie der geschützte Modus funktioniert. Die Lösung von Simon Capewell ist eine gültige Möglichkeit, die Sicherheit von Firefox zu erhöhen. Wenn Sie beispielsweise behaupten, dass seine Lösung den gesamten Schutz des niedrigen Integritätsniveaus in irgendeiner Weise deaktiviert, ist dies völlig falsch. Chrome und IE verwenden dieselben Methoden, da Downloads auch im geschützten Modus-IE in den Downloadordner geschrieben werden. Andernfalls können Sie nichts herunterladen. Obwohl der IE möglicherweise eine Art Wrapper verwendet, der den Hauptprozess von denen isoliert, die nicht vertrauenswürdige Daten zur Erhöhung der Sicherheit verarbeiten, wie dies bei Chrome der Fall ist, ist dies moot wie in den oben beschriebenen Methoden. Alle Komponenten von Firefox sind jedoch vom Manipulieren des Systems isoliert. In Chrome läuft der Hauptprozess jedoch bei mittlerer Integrität und die Renderprozesse bei niedriger Integrität.

Wenn Sie Firefox auf diese Weise konfigurieren, werden Windows und Programme vor Änderungen geschützt. Dadurch wird Firefox vom Rest Ihres Computers isoliert. Firefox kann beispielsweise keine Malware in Ihrem Startordner ablegen oder einen Registrierungseintrag hinzufügen, der beim Start automatisch heruntergefallene Malware in Ihren Download-Ordner (in den Firefox schreiben darf) startet. Wenn Firefox als niedriger Integritätsgrad ausgeführt wird, schützt es außerdem vor Firefox, der versucht, die ACLs zu umgehen, die von Methoden wie dem Erstellen eines Threads in einem Remoteprozess erzwungen werden, um Code im Sicherheitskontext dieses Prozesses auszuführen. Firefox darf weiterhin Dateien in temporäre Ordner und potenziell ausführbare Dateien ablegen, ebenso wie Chrome und IE. Daher müssen Integritätsstufen mit SRP oder AppLocker kombiniert werden. Um zu verhindern, dass ausführbare Dateien in den Verzeichnissen abgelegt werden, in die Firefox schreiben darf. Diese Anforderung ist auch bei IE und Chrome vorhanden.

Sobald dies erledigt ist, wird Firefox gegen Drive-by-Downloads geschützt und mehr als IE geschützt, da der Protected-Modus-IE keinen Schutz bietet, wenn er nicht mit SRP oder Applocker kombiniert wird. Firefox darf in keinem Fall in sein eigenes Verzeichnis und in temporäre Ordner schreiben, was sich von den Protected-Modus-Versionen von Chrome und Protected-Modus-IE unterscheidet.

Der einzige Nachteil dieser Lösung: Ich habe die schlechte Angewohnheit, ausführbare Dateien in meinem Ordner "Downloads" zu hinterlassen, den ich später ausführte. Diese ausführbaren Dateien können manipuliert werden, wenn Firefox nach dem Herunterladen ausgenutzt wird. Verschieben Sie sie daher nach dem Herunterladen aus dem Ordner "Downloads". Es besteht auch ein sehr geringes Risiko, dass eine Sicherheitsanfälligkeit in Firefox ausgenutzt wird, um eine temporäre Datei im zulässigen temporären Ordner zu ändern, die dann eine Sicherheitsanfälligkeit in einem Prozess mit höherer Integritätsebene ausnutzt, wenn diese temporäre Datei verwendet wird. Dies wird jedoch niemals passieren und ist nur eine theoretische Schwachstelle.

Weiterführende Literatur / Quellen:

Windows 7 SRP (funktioniert mit Home Premium, obwohl Sie AppLocker nicht haben):

http://www.wilderssecurity.com/showthread.php?t=262686

Integritätsstufen:

http://www.symantec.com/connect/articles/introduction-windows-integrity-control

Protected Mode IE:

http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx

Grundlegende Informationen zu "Drive-by-Downloads":

http://www.wilderssecurity.com/showthread.php?t=241732

Details zu Chrome unter Windows Sandboxing (mehr als nur Integritätsstufen):

http://www.chromium.org/developers/design-documents/sandbox

Es spielt keine Rolle, wie viele Standorte Sie normalerweise vor dem Schutz der niedrigen Integrität entfernt haben. Das Hinzufügen bestimmter Standorte, die nicht mehr geschützt sind, * widerspricht dem Zweck des geschützten Modus. Sie haben in Ihrem eigenen Urteil entschieden, dass das Schreiben an `Temp` und der Ordner ** Mozilla AppData ** ein akzeptabler Kompromiss sind. weil wir alle wissen, dass wir wirklich verhindern wollen, dass Programme auf Windows und ProgramFiles zugreifen. ** Problem ist: ** Ich weiß nicht, was FF in AppData \ Mozilla speichert, aber ich möchte nicht, dass Malware die Update-URLs vergiftet oder meine Erweiterungen modifiziert. Das ist der Punkt der Sicherheit. Ian Boyd vor 13 Jahren 1
Sie glauben nicht, dass es sich lohnt, Firefox im geschützten Modus zu verwenden, da Firefox selbst möglicherweise gefährdet ist. Der IE selbst kann theoretisch selbst dann gefährdet sein, wenn er im geschützten Modus läuft. Das Ziel des Protected Mode ist die Isolation des Systems von Prozessen, die mit nicht vertrauenswürdigen Daten verbunden sind, und kann so genutzt werden, um den Rest des Systems zu gefährden, nicht den Schutz des Programms vor sich selbst. Bei mittlerer Integrität kann Firefox bereits in Temp und AppData schreiben. Die Verhinderung von Rechten an allen anderen Standorten ist daher ein deutlicher Sicherheitsgewinn. vor 13 Jahren 0
Wenn Sie sich jedoch mit der Integrität Ihrer Erweiterungen beschäftigen, was verständlich ist, wenn Sie Kennwörter schützen möchten, müssen Sie lediglich die Regeln für die Integritätsstufe verfeinern. Integritätsstufen verhindern weder Lese- noch Ausführungsvorgänge oberhalb der Integritätsstufe einer Anwendung. Markieren Sie nur den temporären Ordner als zulässig und die Speicherorte der Konfigurationsdateien, in die Firefox schreiben soll. Achten Sie darauf, den Erweiterungsordner in AppData auszuschließen. Update-URLs werden nicht in einer für Benutzer zugänglichen Konfiguration gespeichert: http://kb.mozillazine.org/About:config_entries#Update._und_Update_notifications. vor 13 Jahren 0
ProcessMonitor kann hilfreich sein, um festzustellen, welche Vorgänge eine Anwendung auszuführen versucht, die aufgrund ihres Integritätsgrades abgelehnt wird. Legen Sie einfach Filter für Application name = theappinquestion.exe und Result = ACCESS DENIED fest, und Sie können die Integritätsstufen aller benötigten Dateien oder Registrierungsschlüssel einfach verfeinern. Dateien mit icacls, Registrierungsschlüssel mit regil (http://www.minasi.com/apps/). Mit dieser Methode konnte ich SC2 beta so konfigurieren, dass es in weniger als 5 Minuten im Modus mit niedriger Integrität ausgeführt wird. vor 13 Jahren 0
Ich denke, jeder vermisst die Tatsache, dass ich andere Software auf der Ebene der niedrigen Pflichtintegrität betreibe. Programme neben ie und Chrome (oder FireFox). Beispiel ist ein Mediaplayer; Ich möchte, dass die Codeausführung von einem Pufferüberlauf in einem Codec nicht in etwas außer den beiden zulässigen Speicherorten schreiben darf. Und ich möchte auf keinen Fall, dass der Code in meinen `Downloads`-Ordner, meinen` Temp`-Ordner geschrieben werden kann oder dass Sie die Einstellungen für Firefox ändern können. Ich sollte keine Sicherheitsbarrieren auf meinem Computer aufheben, um ein Programm zum Laufen zu bringen. Das Programm sollte sich an die Sicherheitsbarrieren biegen. Ian Boyd vor 13 Jahren 0
-1

SRP ist nicht erforderlich, da Prozesse, die von einem Prozess mit niedriger Integrität ausgeführt werden, einen niedrigen Integritätsgrad erben. Es ist jedoch eine weitere Schutzschicht und daher immer noch eine gute Idee!

Verwandte Probleme