Bonjour, Nal.
La plupart d'entre vous savent déjà que paramétrer Firefox de façon à limiter le pistage, préserver sa vie privée, voire augmenter sa sécurité est aussi important que laborieux (voir à ce sujet une excellente dépêche en cours de rédaction, à laquelle vous pouvez contribuer).
L'actualité récente illustre l'inutilité de contre-mesures passant par des extensions ou par une configuration de Firefox, dès lors s'il existe une faille dans ce dernier. Il reste néanmoins possible de limiter les conséquences d'une exploitation, par exemple en faisant jouer le panda dans un bac à sable duquel il ne pourra pas sortir, tout comme il est possible de le faire pour n'importe quelle autre application à risque.
L'inventaire sommaire que j'ai fait des sandboxes m'a rapidement montré que je n'avais pas l'expertise pour savoir ce qui est sérieux et ce qui ne l'est pas. Je vous lance donc dans ce journal quelques pistes que les plus audacieux pourront tester, dans l'espoir que les plus expérimentés donneront leurs avis (entre autre sur la pertinence de l'approche via les namespaces
, ou via seccomp
, ou encore seccomp-bpf
). Pour ma part, firejail
me semble intuitivement intéressant et facile à utiliser. C'est le intuitivement et le facile qui me gênent, parce que c'est un domaine dans lequel on a vite fait de faire bêtement de mauvais choix. Vous m'aidez ? On s'aide les uns les autres à coups (pacifiques) de commentaires ? :-)
basés sur les namespaces
et sur seccomp-bpf
- Firejail, avec un tutoriel et une discussion associée sur HN.
- nsjail
basé sur ptrace
et seccomp-bpf
- mbox et une discussion associée sur HN
basé sur seccomp
basés sur les namespaces
basé sur les namespaces
et LXC
basé sur SELinux
basé sur AppArmor/LSM
basé sur docker
basés sur LXC
basé sur Vagrant
- ben… Vagrant, justement
À noter deux trucs rigolos:
- le projet Qubes OS, basé sur Xen, qui permet de découpailler son OS de bureau en moults fragments indépendants, et de les recoller à la demande - ou pas.
- un projet lié à l'initiative OLPC, Rainbow
# liste blanche
Posté par chimrod (site web personnel) . Évalué à 2.
Le problème de firejail est qu'il fonctionne par liste noire (si j'ai bien compris), or dans le cadre de la sécurité, il est préférable d'autoriser plutôt que d'interdire.
En même temps, j'imagine mal comment préparer une configuration qui s'adapterait à l'ensemble des cas d'utilisation, alors que le configuration par défaut fourni un socle de sécurité minimal déjà convenable (blocage des accès aux répertoires .ssh etc).
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 17 août 2015 à 21:00.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: liste blanche
Posté par chimrod (site web personnel) . Évalué à 4.
Principalement la conf proposée dans debian (je l'utilise depuis quelques temps pour isoler iceweasel et thunderbird)
Affichage des règles appliquées à iceweasel :
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: liste blanche
Posté par chimrod (site web personnel) . Évalué à 5.
Merci pour les explications.
Le sentiment que j'ai eu en l'essayant est que la documentation disponible va très vite dans le très technique, et ne présente pas un les cas d'utilisations à partir de cas d'usages simples.
J'y vois l'avantage qu'il s'intègre dans une configuration existante sans avoir à tout changer dans le système.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: liste blanche
Posté par aurel (site web personnel, Mastodon) . Évalué à 2.
Je trouve aussi qu'elle est complexe. L'initiative me semble néanmoins excellente, car en l'état c'est une mine d'information. La version idéale, c'est celle qu'il est possible d'écrire dès à présent, collectivement, et à laquelle tu peux participer grâce à ta compétence et ton regard critique sur la question :)
(aucune ironie, je précise, on ne sait jamais)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
# D'abord les choses simples
Posté par patrick_g (site web personnel) . Évalué à 6. Dernière modification le 17 août 2015 à 20:45.
Sous Ubuntu une méthode très simple pour améliorer un peu la sécurité de Firefox c'est d'activer le profil apparmor.
On liste pour voir les profils qui sont actuellement actifs :
On active le profil Firefox (qui existe déjà mais n'est pas actif par défaut) :
Puis on liste à nouveau pour voir les profils chargés :
[^] # Re: D'abord les choses simples
Posté par Jiehong (site web personnel) . Évalué à 4.
De manière générale, le noyau Linux contient plusieurs implémentations de restrictions d'accès basées sur les LSM :
Tomoyo permet de regarder (d'apprendre) les accès d'un logiciel pendant une séance où tu l'utilises normalement, et créer une politique en adéquation.
Ensuite, tu regardes si la politique te plaît, et tu peux l'activer : à partir de maintenant, aucun accès à une ressource qui n'est pas dans sa politique sera interdite.
[^] # Re: D'abord les choses simples
Posté par Antoine . Évalué à 3.
Malheureusement cela empêche le son de fonctionner correctement dans les vidéos HTML5:
Une solution ?dbus[1754]: apparmor="DENIED" operation="dbus_method_call" bus="session" path="/ScreenSaver" interface="org.freedesktop.ScreenSaver" member="Inhibit" mask="send" name="org.freedesktop.ScreenSaver" pid=31618 label="/usr/lib/firefox/firefox{,*[^s][^h]}" peer_pid=1925 peer_label="unconfined"
[^] # Re: D'abord les choses simples
Posté par patrick_g (site web personnel) . Évalué à 4.
Chez moi ça marche.
[^] # Re: D'abord les choses simples
Posté par Antoine . Évalué à 3.
Je précise que je suis sous Ubuntu 15.04 et que j'utilise le paquet Firefox d'Ubuntu. J'ai essayé d'activer / désactiver le plugin "extensions Ubuntu", mais ça ne change rien.
[^] # Re: D'abord les choses simples
Posté par patrick_g (site web personnel) . Évalué à 3.
Je suis sous Xubuntu 15.04 et j'utilise également le paquet Firefox des dépôts.
Je n'ai évidemment pas de flashplayer d'installé.
# firefox commence à faire ça de lui même
Posté par Mjules (site web personnel) . Évalué à 5. Dernière modification le 17 août 2015 à 20:48.
Firefox travaille à créer des bac à sables pour son contenu. Tiré de about:support (version aurora/developper edition 42.0a2) :
**Sandbox**
Seccomp-BPF (System Call Filtering) true
Seccomp Thread Synchronization true
User Namespaces true
Media Plugin Sandboxing true
cf :
https://wiki.mozilla.org/Security/Sandbox
et
https://wiki.mozilla.org/Security/Sandbox/Seccomp
[^] # Re: firefox commence à faire ça de lui même
Posté par cbri . Évalué à 2.
J'ai la même chose sur mon Firefox 40.0:
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.