Wie kann ich Firefox ohne gravierenden Leistungsverlust inhaftieren?

1647
Vi.

Meine Firefox-Konfiguration ist schwierig:

  1. Firefox läuft mit einem separaten eingeschränkten Benutzerkonto, das keine Verbindung zum X-Hauptserver herstellen kann.
  2. Firefox verwendet Xvfb (virtueller "headless" X-Server) als X-Server.
  3. x11vnc läuft auf diesem Xvfb.
  4. Auf dem X-Hauptserver läuft vncviewer, der die Verbindung zu diesem x11vnc herstellt

Auf einem leistungsstarken Laptop (Acer Extensa 5220) scheint es mehr oder weniger gut zu funktionieren, auf dem "Acer Aspire One" Netbook ist es jedoch langsamer (vor dem Hintergrund, dass Firefox mit vielen Erweiterungen geladen ist).

Wie kann man dieses Schema optimieren? Bedarf:

  1. Der Browser kann keine Verbindung zum X-Hauptserver herstellen.
  2. Der Browser sollte sich im Chroot-Gefängnis befinden (keine "suid" -Skripte, für viele Dinge schreibgeschützt)
  3. Browser sollte viele Funktionen haben (wie in AutoPager, NoScript, WoT, AdBlockPlus)
1
IMHO, X11 Trennung ist nur Paranoia. grawity vor 13 Jahren 0
@ grawity, Browser wird voraussichtlich von verschiedenen Sicherheitsanfälligkeiten betroffen sein. Wenn der Browser schädlichen nativen Code ausführt, kann er eine Verbindung zum X-Server herstellen und dort Befehle eingeben, um erhöhten Zugriff zu erhalten. Ich möchte nicht, dass der Hauptbrowser eine vertrauenswürdige Komponente ist. Vi. vor 13 Jahren 0
@Vi. Sie finden http://qubes-os.org/ vielleicht interessant, es ist ein Betriebssystem, das auf xen + kleinen virtualisierten Linux-Gästen basiert, und Gäste können nicht direkt auf den X-Hauptserver zugreifen. Grundsätzlich implementiert es alles, was Sie möchten (einschließlich einer separaten virtuellen Festplatte anstelle einer Chroot-Datei), aber alles ist für Sie vorkonfiguriert :). Georges Dupéron vor 9 Jahren 1
@ GeorgesDupéron, Wie erreicht man eine anständige GUI-Leistung ohne direkten Zugriff auf den X-Server? Das Hauptziel ist, was zwischen X und dem Browser steht. Vi. vor 9 Jahren 0
Nun, ich weiß wenig über Qubes-os, aber es scheint, dass sie ein benutzerdefiniertes Protokoll verwenden, um effizient zwischen dem Xorg in der VM und dem Xorg auf dem Host zu kommunizieren. Sie sollten diese Seite auf jeden Fall lesen: http://wiki.qubes-os.org/trac/wiki/GUIdocs. Auch wenn Sie mit einigen der Implementierungsoptionen nicht einverstanden sind, kann dies einige Anregungen geben. Georges Dupéron vor 9 Jahren 0

1 Antwort auf die Frage

1
grawity

Versuchen Sie es mit Xephyr als X11-Server.

Eine andere Möglichkeit ist, Firefox über eine SSH-Verbindung localhostmit eingeschränkter X11-Weiterleitung auszuführen . Der OpenSSH- sshClient hat Optionen ForwardX11undForwardX11Trusted ; Letzteres deaktivieren ~/.ssh/config.

Beeinflusst der SSH-Ansatz, dass Firefox Dinge wie x11vnc ausführt und alle Anwendungen steuert, die mit demselben X-Server verbunden sind? Vi. vor 13 Jahren 0
@Vi: [Nicht vertrauenswürdige Clients haben keinen Zugriff] (http://docs.google.com/viewer?q=cache:v-D_iKG4I3wJ:www.xfree86.org/current/security.pdf) auf Fenster, die von anderen erstellt wurden Programm. grawity vor 13 Jahren 0

Verwandte Probleme