我現在在日常使用中使用 Firefox,而不是 Google Chrome,但我在一些網站上讀到,Firefox 缺乏安全性,但在隱私方面更好,而 Chrome 則相反。 Firefox 真的因為沒有通用沙箱而不太安全嗎?我知道它使用 Flash、DRM 等沙箱。我已經在使用 uBlock Origin。 「firejail」會成為 Firefox 日常使用的好沙箱嗎?
答案1
Mozilla 的Electrothesis 專案允許其瀏覽器利用與Chrome 相同的沙箱技術,這是由於多進程架構的實現,該架構使用特權進程來管理瀏覽器chrome,使用非特權內容(子)進程來處理不受信任的(Web)內容。瀏覽器的多進程架構比這要複雜一些,但這就是重點。
從 Linux 上的 Firefox 57 及更高版本開始,1Firefox 的發布分支使用與 Chrome 沙箱相同的核心功能。兩種瀏覽器都使用seccomp-BPF 來限制內容進程系統呼叫訪問,以減少攻擊面,並且兩種瀏覽器的內容(子)進程都透過setuid 包裝器(Chrome 舊版回退)或非特權用戶命名空間(現代核心上的Firefox 和Chrome)進行沙箱處理)。2,3
因此,從高層角度來看,Firefox 和 Chrome 的沙箱強度相當。
答案2
正如 Ramhound 指出的那樣,Firefox 確實有腳本運行時沙箱,但 Firejail 完全是另一回事。 Chrome 和 Firefox 都沒有嘗試做 Firejail 所做的事情。
Firejail 不是腳本運行時沙箱,因為它們通常內建在瀏覽器中,而是一個強制存取控制完全位於瀏覽器之外,例如塞林克斯或諾維爾應用裝甲。它隔離整個瀏覽器(或其他非瀏覽器進程),而不僅僅是瀏覽器運行時元件中的特定區域,因此您可以在瀏覽器沙箱被新攻擊破壞時對瀏覽器對系統的影響設定限制,或者用戶做了一些極其愚蠢的事情。您可以執行諸如斷言進程只能存取某些資源之類的操作,並且會阻止任何其他操作。
就我個人而言,如果我的瀏覽器需要 MAC 層,我會使用 SELinux 或 AppArmor(我的發行版的維護者更喜歡它),甚至更好的是使用虛擬機來實現完全隔離。