Ahora estoy usando Firefox en lugar de Google Chrome para uso diario, sin embargo leí en algunos sitios que Firefox carece de seguridad pero es mejor en privacidad y Chrome al revés. ¿Firefox es realmente menos seguro por no tener un sandbox para uso general? Sé que usa un entorno limitado para Flash, DRM, etc. ¿Me equivoco? Ese es el mismo caso en Chrome o no, porque no pude encontrar tanta información al respecto. Ya estoy usando uBlock Origin. ¿Será "firejail" un buen entorno de pruebas para Firefox para uso diario?
Respuesta1
El proyecto Electrolysis de Mozilla ha permitido que su navegador aproveche las mismas tecnologías de espacio aislado que utiliza Chrome debido a la implementación de una arquitectura multiproceso que utiliza un proceso privilegiado para administrar el navegador Chrome y procesos de contenido sin privilegios (secundarios) para manejar contenido (web) que no es de confianza. Las arquitecturas multiproceso de los navegadores son un poco más complejas que eso, pero esta es la esencia de las cosas.
A partir de Firefox 57 y versiones posteriores en Linux,1La rama de lanzamiento de Firefox utiliza las mismas funcionalidades principales que Chrome utiliza para el sandboxing. Ambos navegadores utilizan seccomp-BPF para limitar el acceso a la llamada al sistema del proceso de contenido para reducir la superficie de ataque, y los procesos de contenido (secundarios) de ambos navegadores están protegidos por un contenedor setuid (reserva heredada de Chrome) o espacios de nombres de usuario sin privilegios (Firefox y Chrome en kernels modernos). ).2,3
Por lo tanto, desde una perspectiva de alto nivel, los entornos sandbox de Firefox y Chrome son equivalentes en potencia.
Respuesta2
Como señaló Ramhound, Firefox tiene entornos de pruebas en tiempo de ejecución de scripts, pero Firejail es algo completamente distinto. Ni Chrome ni Firefox intentan hacer lo que hace Firejail.
Firejail no es un entorno de pruebas en tiempo de ejecución de scripts, ya que comúnmente están integrados en los navegadores, sino que es unControl de acceso obligatoriocapa fuera del navegador por completo, comoSelinuxo NovellArmadura de aplicaciones. Aísla todo el navegador (u otros procesos ajenos al navegador), no solo áreas específicas dentro de los componentes de tiempo de ejecución del navegador, por lo que puede establecer límites en el impacto del navegador en su sistema en caso de que el entorno de pruebas del navegador se rompa debido a nuevos ataques, o el usuario hace algo abismalmente estúpido. Podría hacer cosas como afirmar que un proceso solo puede acceder a ciertos recursos y bloqueará cualquier otra operación.
Personalmente, si necesitara una capa MAC para mi navegador, usaría SELinux o AppArmor (lo que prefieran los mantenedores de mi distribución), o incluso mejor, una máquina virtual para un aislamiento completo.