저는 이제 매일 사용하기 위해 Google Chrome 대신 Firefox를 사용하고 있습니다. 그러나 일부 사이트에서 Firefox는 보안이 부족하고 개인 정보 보호는 더 뛰어나고 Chrome은 그 반대라는 것을 읽었습니다. Firefox는 일반 용도로 사용할 수 있는 샌드박스가 없기 때문에 실제로 덜 안전합니까? 나는 그것이 Flash, DRM 등에 대한 샌드박스를 사용한다는 것을 알고 있습니다. 제가 틀렸습니까? Chrome에서도 마찬가지입니다. 왜냐하면 그것에 대한 많은 정보를 찾을 수 없기 때문입니다. 저는 이미 uBlock Origin을 사용하고 있습니다. "firejail"은 일상적인 사용을 위한 Firefox의 좋은 샌드박스가 될까요?
답변1
Mozilla의 Electrolytic 프로젝트는 브라우저 Chrome을 관리하기 위해 권한 있는 프로세스를 사용하고 신뢰할 수 없는(웹) 콘텐츠를 처리하기 위해 권한이 없는 콘텐츠(하위) 프로세스를 사용하는 다중 프로세스 아키텍처의 구현으로 인해 브라우저에서 Chrome과 동일한 샌드박싱 기술을 활용할 수 있게 했습니다. 브라우저의 다중 프로세스 아키텍처는 그보다 조금 더 복잡하지만 이것이 핵심입니다.
Linux의 Firefox 57 이상부터1Firefox의 릴리스 브랜치는 Chrome이 샌드박싱에 사용하는 것과 동일한 핵심 기능을 사용합니다. 두 브라우저 모두 seccomp-BPF를 사용하여 공격 표면을 줄이기 위해 콘텐츠 프로세스 syscall 액세스를 제한하고, 두 브라우저의 콘텐츠(하위) 프로세스는 setuid 래퍼(Chrome 레거시 폴백) 또는 권한이 없는 사용자 네임스페이스(최신 커널의 Firefox 및 Chrome)에 의해 샌드박스 처리됩니다. ).2,삼
따라서 높은 수준의 관점에서 볼 때 Firefox와 Chrome의 샌드박스는 강도가 동일합니다.
답변2
Ramhound가 지적했듯이 Firefox에는 스크립트 런타임 샌드박스가 있지만 Firejail은 완전히 다른 것입니다. Chrome이나 Firefox 모두 Firejail이 수행하는 작업을 시도하지 않습니다.
Firejail은 일반적으로 브라우저에 내장되어 있으므로 스크립트 런타임 샌드박스가 아닙니다.필수 접근 통제브라우저 외부의 레이어와 같이 완전히셀리눅스아니면 노벨앱아머. 브라우저 런타임 구성 요소 내의 특정 영역뿐만 아니라 전체 브라우저(또는 기타 비브라우저 프로세스)를 격리하므로 새로운 공격으로 인해 브라우저 샌드박스가 손상되는 경우 시스템에 대한 브라우저의 영향을 제한할 수 있습니다. 사용자가 엄청나게 어리석은 짓을 했습니다. 프로세스가 특정 리소스에만 액세스할 수 있고 다른 작업은 차단한다고 주장하는 등의 작업을 수행할 수 있습니다.
개인적으로 브라우저에 MAC 계층이 필요한 경우 SELinux 또는 AppArmor(배포판 관리자가 선호하는 것)를 사용하거나 더 나은 방법으로 완전한 격리를 위해 가상 머신을 사용합니다.