Теперь я использую Firefox вместо Google Chrome для повседневного использования, однако я читал на некоторых сайтах, что Firefox не обеспечивает безопасности, но лучше с точки зрения конфиденциальности, а Chrome наоборот. Действительно ли Firefox менее безопасен из-за отсутствия песочницы для общего использования? Я знаю, что он использует песочницу для Flash, DRM и т. д. Я ошибаюсь, и то же самое происходит в Chrome или нет, потому что я не смог найти много информации о нем. Я уже использую uBlock Origin. Будет ли "firejail" хорошей песочницей для Firefox для повседневного использования?
решение1
Проект Electrolysis от Mozilla позволил своему браузеру использовать те же технологии песочницы, что и Chrome, благодаря реализации многопроцессной архитектуры, которая использует привилегированный процесс для управления браузером chrome и непривилегированные (дочерние) процессы контента для обработки недоверенного (веб) контента. Многопроцессные архитектуры браузеров немного сложнее, но суть такова.
Начиная с Firefox 57 и выше на Linux,1релизная ветка Firefox использует те же основные функции, что и Chrome для песочницы. Оба браузера используют seccomp-BPF для ограничения доступа к системным вызовам процесса контента для уменьшения поверхности атаки, а процессы контента (дочерние) обоих браузеров изолированы либо оболочкой setuid (старый резерв Chrome), либо пространствами имен непривилегированных пользователей (Firefox и Chrome на современных ядрах).2,3
Таким образом, с точки зрения высокого уровня, песочницы Firefox и Chrome эквивалентны по мощности.
решение2
Как отметил Ramhound, Firefox имеет песочницы времени выполнения скриптов, но Firejail — это нечто совершенно иное. Ни Chrome, ни Firefox не пытаются делать то, что делает Firejail.
Firejail — это не песочница для выполнения скриптов, как это обычно бывает в браузерах, аОбязательный контроль доступаслой полностью за пределами браузера, какСелинуксили НовеллAppArmor. Он изолирует весь браузер (или другие процессы, не относящиеся к браузеру), а не только определенные области в компонентах среды выполнения браузера, поэтому вы можете установить ограничения на воздействие браузера на вашу систему в случае, если песочница браузера будет нарушена новыми атаками или пользователь сделает что-то ужасно глупое. Вы можете делать что-то вроде утверждения, что процесс может получить доступ только к определенным ресурсам, и блокировать любые другие операции.
Лично я, если бы мне нужен был уровень MAC для моего браузера, я бы использовал SELinux или AppArmor (в зависимости от того, какой вариант предпочитают разработчики моего дистрибутива), или, что еще лучше, виртуальную машину для полной изоляции.