forum.opennet.ru - "Улучшение sandbox-изоляции в Firefox" (43)

"Улучшение sandbox-изоляции в Firefox"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от opennews (??), 12-Май-18, 12:33
В недавно выпущенном релизе Firefox 60 (https://www.opennet.ru/opennews/art.shtml?num=48565) была существенно улучшена (https://www.morbo.org/2018/05/linux-sandboxing-improvements-...) sandbox-изоляция для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений. Процессы обработки контента, в которых осуществляется отрисовка web-страниц и выполнение JavaScript-кода, теперь лишены возможности прямой установки сетевых соединений и использования Unix-сокетов для обращения к локальным сервисам, таким как PulseAudio. Также теперь блокируются любые обращения к System V IPC (исключение сделано только для взаимодействия с fglrx и VirtualGL). В настройках about:config блокирование сетевого доступа ассоциировано с четвёртым уровнем изоляции в параметре security.sandbox.content.level. Sandbox-изоляция значительно усложняет эксплуатацию уязвимостей в web-движке и вынуждает для проведения атаки на систему применять более сложные комбинации, охватывающие несколько уязвимостей в разных подсистемах. Блокирование сетевого доступа в процессах обработки контента позволяет исключить все нештатные пути отправки трафика, например, при включении работы через прокси в настройках доступ теперь возможен только через прокси, даже в случае эксплуатации уязвимости и попытки прямой установки соединения (особенно изменение актуально для защиты от атак по деанонимизации пользователей Tor Browser). Не менее важна блокировка доступа через unix-сокеты, так как эта возможность позволяет обратиться от имени пользователя к локальным сервисам, RPC-интерфейс которых допускает (https://www.opennet.ru/opennews/art.shtml?num=47912) команды, в результате которых можно выполнить код в системе. Блокировка реализована через запрет системных вызовов, таких как connect, и помещение процесса в отдельное пространство имён идентификаторов пользователя (user namespaces), по аналогии с тем как реализуется изоляция для контейнеров. Исключение сделано только для протокола X11, который применяется для отображения графики и приёма событий ввода (в будущих выпусках планируют реализовать защиту и для канала связи с X11). Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог), ограничен доступ дочерних процессов Firefox к системным вызовам (используется Seccomp-bpf), ограничено взаимодействие со сторонними процессами, исключён доступ к разделяемой памяти и видеоподсистеме. В обычных условиях для настройки sandbox (https://wiki.mozilla.org/Security/Sandbox) в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно (https://www.opennet.ru/opennews/art.shtml?num=29219) для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=47407), которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. URL: https://www.morbo.org/2018/05/linux-sandboxing-improvements-... Новость: https://www.opennet.ru/opennews/art.shtml?num=48589
Ответить \| Правка \| Cообщить модератору

Оглавление

Т е теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет, Аноним (-), 12:33 , 12-Май-18, (1)

Это плохо или хорошо , Аноним (-), 12:37 , 12-Май-18, (2)

И хорошо и плохо , Аноним (7), 13:53 , 12-Май-18, (7)

Критическая уязвимость Шредингера Wait, oh shi- , Аноним (-), 20:22 , 12-Май-18, (32) +2

Мда Очередное свидетельство, насколько им положить на пользователей ОС, отличны, Stax (ok), 13:48 , 12-Май-18, (6) +4

Это мозилла, они только и умеют что безопасные просмотрщики PDF на JS наворачи, Аноним (-), 14:22 , 12-Май-18, (11)

А иного просмотрщика и не будет, проект Mortar PDFium их Хрома официально закр, Kuromi (ok), 16:48 , 12-Май-18, (24)

Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую Т, Аноним (-), 20:21 , 12-Май-18, (31) +2

А в чём твои претензии С некоторых пор 57 pdf js безопаснее системных просмот, Аноним (-), 01:02 , 13-Май-18, (43) –1

Так безопасен, что Владимир Палант изначальный автор адблока накопал там кучу , Аноним (-), 21:56 , 13-Май-18, (46) +4
Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплев, Аноним (-), 19:44 , 14-Май-18, (53)

по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного л, пох (?), 15:56 , 12-Май-18, (17) –1

Потому что отличаются в деталях, а тестить разработчику среднего пошиба один чер, Аноним (-), 16:01 , 12-Май-18, (20) +2

user namespaces - это не детали, это мертвый технологический тупик, в котором ли, пох (?), 21:43 , 12-Май-18, (36) –3

Что там, в тупике-то , Аноним (-), 23:58 , 12-Май-18, (41)
На уровне технологий и реализации никаких фатальных провалов которые бы меня кор, Аноним (-), 20:21 , 14-Май-18, (54)

Как будто это нвовость Не буду напоминать про отсутвие аппаратного декодировани, Kuromi (ok), 16:52 , 12-Май-18, (25) +1
Вот ваша ссылочка в Багзиллу - https bugzilla mozilla org show_bug cgi id 1376, Kuromi (ok), 17:15 , 12-Май-18, (27)
И это коментарий на Linux специфичную фичу Которой все одно почти никто в здрав, КО (?), 20:25 , 12-Май-18, (33)

Причём тут рут Запретить браузеру заливать в Интернет мои файлы без спроса, или, PereresusNeVlezaetBuggy (ok), 23:16 , 12-Май-18, (40)
для работы с capability root не нужен firejail прекрасно без рута работает , Аноним (-), 21:59 , 13-Май-18, (47)

Совсем не правда, линуксоид Про мак всегда пишут Про андроид тоже Так что ты , Аноним (-), 01:00 , 13-Май-18, (42)

А при чём тут bsdшнники Мы локти не кусаем в ожидании вендокопца Пилим себе поти, анон (?), 03:36 , 13-Май-18, (44) +1

За что вам респект и уважуха в отличии от покусанных блохастым ногоедом , Аноним (-), 19:01 , 14-Май-18, (52)

Зачем эти возможности изначально , Аноним (-), 13:56 , 12-Май-18, (8)
Эти ламерозные скриптокидозники так до сих пор и не смогли в clone с отпиливан, Аноним (-), 14:16 , 12-Май-18, (9)
Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работ, Аноним (-), 15:18 , 12-Май-18, (15)

Будет, если вручную включить user namespaces Начиная с 7 2 в Рэд Хате оно есть,, Kuromi (ok), 16:56 , 12-Май-18, (26) +1

а также не включено в Arch Linux и куче других линуксов проще было так и напис, X4asd (ok), 15:29 , 12-Май-18, (16) +1

Еще дебиан и почти все его деривативы забыл Всего ничего А так что там осталос, Аноним (-), 16:06 , 12-Май-18, (21) –2

Дырявый этот ваш User Namespaces Был включён раньше, но когда там стали пачками, Арчевод (?), 23:11 , 12-Май-18, (39) +4

Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть Н, Аноним (-), 20:27 , 14-Май-18, (55)

Уважаемый гуру, подскажите пожалуйста, какой другой кернель был заточен на то, Аноним (-), 09:33 , 15-Май-18, (57)

Противоречивая новость Так и не понял стало лучше или хуже юзер что-то там дыр, Аноним (-), 18:20 , 12-Май-18, (29)

Речь идет об очередных 171 улучшениях в файрфоксе 187 Думаю, ты знаешь, чт, Аноним (-), 19:37 , 12-Май-18, (30) +2
Ну как бы лучше, но если дать рута браузеру А там, как повезет Интересно, по, КО (?), 20:53 , 12-Май-18, (35)

не браузеру всем подряд Ну, правда, специального такого рута, который как бы е, пох (?), 22:01 , 12-Май-18, (37)

Он не внезапно, он закономерно Ядро это, что-то типа творчества Франкенштейна И, КО (?), 09:26 , 14-Май-18, (49)
При том основы этого бардака заложили как ни странно древние юниксы и POSIX А в, Аноним (-), 20:29 , 14-Май-18, (56)

Оно включается после обновления или нужно самому включать , Аноним (-), 20:50 , 12-Май-18, (34)

Если настройки sandbox-а руками не меняли раньше, то само включится Если меняли, Kuromi (ok), 22:52 , 12-Май-18, (38)

Вопрос знатокам а как тогда я могу сохранять или аплоадить файлы, ведь я должен, Hdddd (?), 11:18 , 14-Май-18, (50)

Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса , Ан (??), 11:59 , 14-Май-18, (51) +1

Сообщения [Сортировка по времени | RSS]

1. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 12:33

Т.е. теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет?

Ответить | Правка | Наверх | Cообщить модератору

2. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 12:37

Это плохо или хорошо?

Ответить | Правка | Наверх | Cообщить модератору

7. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (7), 12-Май-18, 13:53

И хорошо и плохо.

Ответить | Правка | Наверх | Cообщить модератору

32. "Улучшение sandbox-изоляции в Firefox" +2 +/–

Сообщение от Аноним (-), 12-Май-18, 20:22

> И хорошо и плохо.
Критическая уязвимость Шредингера. Wait, oh shi-!

Ответить | Правка | Наверх | Cообщить модератору

6. "Улучшение sandbox-изоляции в Firefox" +4 +/–

Сообщение от Stax (ok), 12-Май-18, 13:48

> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений
Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
> Также теперь блокируются любые обращения к System V IPC
Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API.
Несколько странно блокировать SysV и ничего не делать про POSIX вариант.
Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (

Ответить | Правка | Наверх | Cообщить модератору

11. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 14:22

> Несколько странно блокировать SysV и ничего не делать про POSIX вариант.
Это мозилла, они только и умеют что "безопасные" просмотрщики PDF на JS наворачивать.

Ответить | Правка | Наверх | Cообщить модератору

24. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Kuromi (ok), 12-Май-18, 16:48

А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально закрыт, наработки в мусорку.

Ответить | Правка | Наверх | Cообщить модератору

31. "Улучшение sandbox-изоляции в Firefox" +2 +/–

Сообщение от Аноним (-), 12-Май-18, 20:21

> А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально
> закрыт, наработки в мусорку.
Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую. Там как-то больше результата и меньше хипстерского булшита. Не скажу что это здорово, ранние файрфоксы нравились больше. Версии так до 3 были очень даже. Но потом вместо разработчиков пришли маркетологи и все изгадили, про#$%в все достоинства программы и ничего не сделав взамен.

Ответить | Правка | Наверх | Cообщить модератору

43. "Улучшение sandbox-изоляции в Firefox" –1 +/–

Сообщение от Аноним (-), 13-Май-18, 01:02

А в чём твои претензии? С некоторых пор (57) pdf.js безопаснее системных просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.
https://github.com/The-OP/Fox/commit/cae3ccbcbc30921a6c3cae3...

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

46. "Улучшение sandbox-изоляции в Firefox" +4 +/–

Сообщение от Аноним (-), 13-Май-18, 21:56

Так безопасен, что Владимир Палант (изначальный автор адблока) накопал там кучу rce (в привилегированном контексте) уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

53. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 14-Май-18, 19:44

> просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать.
Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплевав на рассказы про "безопасность". Кроссплатформенно. Извини но настолько грубой нестыковки наблюдаемых реалий и заявлений разработчиков в вопросах безопасности достаточно и 1 раз для переоценки ситуации.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

17. "Улучшение sandbox-изоляции в Firefox" –1 +/–

Сообщение от пох (?), 12-Май-18, 15:56

> Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

20. "Улучшение sandbox-изоляции в Firefox" +2 +/–

Сообщение от Аноним (-), 12-Май-18, 16:01

> по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь
> линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.
Потому что отличаются в деталях, а тестить разработчику среднего пошиба один черт не на чем. Поэтому соляра может до упора какой там еще /dev/poll реализовывать, или что там у нее. Но лично мне будет не на чем это протестировать. Да и плевать мне как оно там работает - я это не видел и не увижу никогда, имхо.

Ответить | Правка | Наверх | Cообщить модератору

36. "Улучшение sandbox-изоляции в Firefox" –3 +/–

Сообщение от пох (?), 12-Май-18, 21:43

> Потому что отличаются в деталях
user namespaces - это не детали, это мертвый технологический тупик, в котором линукс по уши увяз.
ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.
> Но лично мне будет не на чем это протестировать.
угу, виртуалки уже запрещены, за них десять лет дают?
(и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными платформами, и собрать ее на деньги мазилы тоже никак - все ушли на равные права п-сам и членодевкам)

Ответить | Правка | Наверх | Cообщить модератору

41. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 23:58

Что там, в тупике-то?

Ответить | Правка | Наверх | Cообщить модератору

54. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 14-Май-18, 20:21

> user namespaces - это не детали, это мертвый технологический тупик,
На уровне технологий и реализации никаких фатальных провалов которые бы меня коробили я на самом деле не вижу. А то что к изначально не предназначенному для таких развлекух кернелу оно прикручивается сложно и с дурными проблемами - понимаемо. Но, знаешь, "with enough thrust, pigs fly just fine". Собственно главная заслуга Торвальдса - thrust.
> в котором линукс по уши увяз.
Рассусоливания о том как могло бы быть, сидючи с голым задом не возбуждают. Проприетарные системы - где-то там, не у меня. Мне они бесполезны. И какие практически значимые варианты остаются?
> ТАК это делать больше никто и нигде не будет, поскольку насмотрелись.
Как-то так говорили про x86 разработчики правильных высокопарных железок. И большинства этих железок с нами (уже) нет, а зачастую и фирм их сделавших. Даже у интеля был совершенно донкихотский проект, задолго до итаника. Но невзрачный 386, запасной вариант для отмахивания от конкурентов на время строительства светлого будушего - оказался дешевле и лучше. А светлое будущее с програмизмом на Аде - догоняет призрак коммунизма.
> угу, виртуалки уже запрещены, за них десять лет дают?
Нет, но для меня это большое приключение сильно в сторону, без понятных профитов при ощутимых затратах времени и сил. Как мне кажется остальные похоже считают. Поэтому максимум на что солярщики могут уповать - что если они пришлют патч, его включат в проект и не выкинут пока кто-то из тех кому соляра позарез нужна будет майнтайнить. Но поскольку среди солярщиков много высокопарных админов и мало кодеров, вероятность такого расклада...
> (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными
> платформами, и собрать ее на деньги мазилы тоже никак - все
> ушли на равные права п-сам и членодевкам)
Я думаю что им все это просто не надо, прикидывая соотношение долботни и ради чего она затевается. Они для линя то нормально сабж сделать не могут, хотя там несколько сисколов, и вообще, если даже не знать каких, готовую запускалку можно у хромиума скопипи...ть. А ты им про соляру. Ты с какой планеты? :)

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

25. "Улучшение sandbox-изоляции в Firefox" +1 +/–

Сообщение от Kuromi (ok), 12-Май-18, 16:52

>> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений
> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
Как будто это нвовость. Не буду напоминать про отсутвие аппаратного декодирования видео, вялую разрабку аппаратного ускорения композинга и вывода на экран под Линуксом (притом что под Виндоус это все уже официально есть), так они даже свои WebExtentions под Линуксом в отдельном потоке не ерализовали. Было в Виндоус, кажется начиная с 60-ого есть и под Макинтошем, Линукс? "Может быть в 2018-ом".
И это при том, что есть пара непритяных багов с WebEXt которые решаются именно включением отдельного процесса, их, соотвественно, отдельно не исправляют - остается только ждать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

27. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Kuromi (ok), 12-Май-18, 17:15

> Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где
> собственно это изменение делали (
Вот ваша ссылочка в Багзиллу - https://bugzilla.mozilla.org/show_bug.cgi?id=1376910
Но боюсь искомого ответа ПОЧЕМУ там нет. Могу только предположить что 1) до POSIX IPC еще не дошли руки, все таки играничения наращиваются постепенно, да и разработчков там не бесконечное количество 2) блокируют все что возможно заблокировать, так как такая тенденция

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

33. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от КО (?), 12-Май-18, 20:25

>Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
И это коментарий на Linux специфичную фичу. Которой все одно почти никто в здравом уме пользоваться не будет. Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. Вот ее и не стали описывать. Ну как не стали, нормальные пользователи линя могли и в версионке посмотреть. :)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

40. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от PereresusNeVlezaetBuggy (ok), 12-Май-18, 23:16

Причём тут рут? Запретить браузеру заливать в Интернет мои файлы без спроса, или там микрофоном пользоваться, или программы какие запускать — по-моему, не так уж плохо.
А фича эта не совсем Linux-специфическая, сейчас обкатывается аналогичный патч для OpenBSD, использующий pledge.

Ответить | Правка | Наверх | Cообщить модератору

47. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 13-Май-18, 21:59

>>Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность.
для работы с capability root не нужен. firejail прекрасно без рута работает.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

42. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 13-Май-18, 01:00

> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды.
Совсем не правда, линуксоид. Про мак всегда пишут. Про андроид тоже. Так что ты один в своей печали вместе с бсд, не стоит на винду злиться.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

44. "Улучшение sandbox-изоляции в Firefox" +1 +/–

Сообщение от анон (?), 13-Май-18, 03:36

А при чём тут bsdшнники?Мы локти не кусаем в ожидании вендокопца.Пилим себе потихоньку,пока остальные нас хоронят ;-)

Ответить | Правка | Наверх | Cообщить модератору

52. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 14-Май-18, 19:01

За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.

Ответить | Правка | Наверх | Cообщить модератору

8. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 13:56

Зачем эти возможности изначально?

Ответить | Правка | Наверх | Cообщить модератору

9. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 14:16

Эти ламерозные скриптокидозники так до сих пор и не смогли в clone() с отпиливанием браузера в приватные namespaces, чтобы атакующий по всей системе не шарился? Хромиум это делает уже лет, наверное, пять, если не больше. И кода там для этого мизер, а эффект от него - очень даже.

Ответить | Правка | Наверх | Cообщить модератору

15. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 15:18

>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать не будет?

Ответить | Правка | Наверх | Cообщить модератору

26. "Улучшение sandbox-изоляции в Firefox" +1 +/–

Сообщение от Kuromi (ok), 12-Май-18, 16:56

>>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
> Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать
> не будет?
Будет, если вручную включить user namespaces. Начиная с 7.2 в Рэд Хате оно есть, надо только включить - https://ru.scribd.com/document/357498357/User-Namespace-in-R...

Ответить | Правка | Наверх | Cообщить модератору

16. "Улучшение sandbox-изоляции в Firefox" +1 +/–

Сообщение от X4asd (ok), 12-Май-18, 15:29

> В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora.
а также (не включено) в Arch Linux и куче других линуксов.
проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают!
вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.

Ответить | Правка | Наверх | Cообщить модератору

21. "Улучшение sandbox-изоляции в Firefox" –2 +/–

Сообщение от Аноним (-), 12-Май-18, 16:06

> проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения
> разрешается делать user_namespaces, а все остальные линуксы этого избегают!
Еще дебиан и почти все его деривативы забыл. Всего ничего. А так что там осталось то? Арч и гента у чокнутых скрипткидисов? На них ориентироваться себе дороже, там двух одинаковых систем не найдешь, поэтому у одного не заработает одно, у другого другое, у третьего третье, а разработчику при виде всего этого останется разве что застрелиться, потому что нормально работать это месиво не будет в принципе.

Ответить | Правка | Наверх | Cообщить модератору

39. "Улучшение sandbox-изоляции в Firefox" +4 +/–

Сообщение от Арчевод (?), 12-Май-18, 23:11

Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали пачками находить уязвимости, выключили до лучших времен.

Ответить | Правка | Наверх | Cообщить модератору

55. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 14-Май-18, 20:27

> Дырявый этот ваш User Namespaces. Был включён раньше, но когда там стали
> пачками находить уязвимости, выключили до лучших времен.
Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется. Это уж увы.

Ответить | Правка | Наверх | Cообщить модератору

57. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 15-Май-18, 09:33

> Ну, блин, извини, линуксный кернель изначально не был заточен на то чтобы
> быть НАСТОЛЬКО многопользовательским. Поэтому без багов по первости все-же не обойдется.
> Это уж увы.
Уважаемый гуру, подскажите пожалуйста, какой другой "кернель" "был заточен на то чтобы быть НАСТОЛЬКО многопользовательским"? И, желательно, под более-менее свободной лицензией.

Ответить | Правка | Наверх | Cообщить модератору

29. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 18:20

Противоречивая новость. Так и не понял стало лучше или хуже. юзер что-то там дырявое, то что не дырявое позволяет получить права рута.
А между тем фокс в firejail не работает. Собственным изоляциям фокса доверия нет.
Работает с таким конфигом, подсмотренным в тырнете, на сколько это безопасно? Или тупо вся изоляция выключена?
#seccomp
seccomp.drop @clock,@cpu-emulation,@debug,@module,@obsolete,@raw-io,@reboot,@resources,@swap,acct,add_key,bpf,fanotify_init,io_cancel,io_destroy,io_getevents,io_setup,io_submit,ioprio_set,kcmp,keyctl,mount,name_to_handle_at,nfsservctl,ni_syscall,open_by_handle_at,personality,pivot_root,process_vm_readv,ptrace,remap_file_pages,request_key,setdomainname,sethostname,syslog,umount,umount2,userfaultfd,vhangup,vmsplice

Ответить | Правка | Наверх | Cообщить модератору

30. "Улучшение sandbox-изоляции в Firefox" +2 +/–

Сообщение от Аноним (-), 12-Май-18, 19:37

Речь идет об очередных «"улучшениях" в файрфоксе».
Думаю, ты знаешь, что такое «"улучшения" в файрфоксе» и как к ним относиться.

Ответить | Правка | Наверх | Cообщить модератору

35. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от КО (?), 12-Май-18, 20:53

>Так и не понял стало лучше или хуже.
Ну как бы лучше, но если дать рута браузеру. А там, как повезет. :)
Интересно, почему они просто не сделали отдельный процесс со своим контекстом того же Selinux, и никакого рута не надо.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

37. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от пох (?), 12-Май-18, 22:01

> Ну как бы лучше, но если дать рута браузеру. А там, как
не браузеру. всем подряд. Ну, правда, специального такого рута, который как бы есть а как бы его нет.
но иногда он, внезапно, обратно есть ;-)

Ответить | Правка | Наверх | Cообщить модератору

49. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от КО (?), 14-Май-18, 09:26

Он не внезапно, он закономерно.
Ядро это, что-то типа творчества Франкенштейна. И одни части, ради которых это задумывалось, в курсе концепции "царь то не настоящий". А авторы других об этом никогда и не задумывались. Пока все не прошерстить и не переписать, так и будет.

Ответить | Правка | Наверх | Cообщить модератору

56. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 14-Май-18, 20:29

> но иногда он, внезапно, обратно есть ;-)
При том основы этого бардака заложили как ни странно древние юниксы и POSIX. А вот в линухе с его capabilities - даже если я кому-то и дам CAP_NET_ADMIN, сеть он конечно перекорежить сможет, но вот например в блочный девайс записать как настоящий рут - да сейчас.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

34. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Аноним (-), 12-Май-18, 20:50

Оно включается после обновления или нужно самому включать?

Ответить | Правка | Наверх | Cообщить модератору

38. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Kuromi (ok), 12-Май-18, 22:52

Если настройки sandbox-а руками не меняли раньше, то само включится. Если меняли, то надо в about:config перевести security.sandbox.content.level в 4

Ответить | Правка | Наверх | Cообщить модератору

50. "Улучшение sandbox-изоляции в Firefox" +/–

Сообщение от Hdddd (?), 14-Май-18, 11:18

> Помимо ограничения сети в прошлых выпусках Firefox также была применена изоляция доступа к файловой системе (используется chroot в пустой каталог)
Вопрос знатокам: а как тогда я могу сохранять или аплоадить файлы, ведь я должен увидеть пустой каталог при открытии соотв. диалогового окна?

Ответить | Правка | Наверх | Cообщить модератору

51. "Улучшение sandbox-изоляции в Firefox" +1 +/–

Сообщение от Ан (??), 14-Май-18, 11:59

Если юзать firejail, то доступна только папка загрузки и собствнные папки фокса из коробки.
Доки из фокса напрямую не открываются в либре - это минус.
Очевидно, никакой втроенной изоляции нет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от Аноним (-), 12-Май-18, 12:33
Т.е. теперь не будет выявления критических уязвимостей каждый месяц, или ещё нет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 12-Май-18, 12:37
	Это плохо или хорошо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (7), 12-Май-18, 13:53
	И хорошо и плохо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Улучшение sandbox-изоляции в Firefox"	+2 +/–
	Сообщение от Аноним (-), 12-Май-18, 20:22
	> И хорошо и плохо. Критическая уязвимость Шредингера. Wait, oh shi-!
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Улучшение sandbox-изоляции в Firefox"	+4 +/–
Сообщение от Stax (ok), 12-Май-18, 13:48
> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. > Также теперь блокируются любые обращения к System V IPC Так а что с POSIX IPC? Как бы SysV IPC уже давным-давно считается устаревшим, и хотя убирать его, конечно, никто не будет, всем приложениями настоятельно рекомендовано использовать POSIX вариант, в котором есть целый набор преимуществ (thread safety, разделяемая память более явная и удобнее управляется и т.п.). А технически он реализован совершенно независимо и через другие API. Несколько странно блокировать SysV и ничего не делать про POSIX вариант. Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где собственно это изменение делали (
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 12-Май-18, 14:22
	> Несколько странно блокировать SysV и ничего не делать про POSIX вариант. Это мозилла, они только и умеют что "безопасные" просмотрщики PDF на JS наворачивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Kuromi (ok), 12-Май-18, 16:48
	А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально закрыт, наработки в мусорку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Улучшение sandbox-изоляции в Firefox"	+2 +/–
	Сообщение от Аноним (-), 12-Май-18, 20:21
	> А иного просмотрщика и не будет, проект Mortar (PDFium их Хрома) официально > закрыт, наработки в мусорку. Тем хуже для мозиллы, я по сумме их достижений в результате хромиум использую. Там как-то больше результата и меньше хипстерского булшита. Не скажу что это здорово, ранние файрфоксы нравились больше. Версии так до 3 были очень даже. Но потом вместо разработчиков пришли маркетологи и все изгадили, про#$%в все достоинства программы и ничего не сделав взамен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Улучшение sandbox-изоляции в Firefox"	–1 +/–
	Сообщение от Аноним (-), 13-Май-18, 01:02
	А в чём твои претензии? С некоторых пор (57) pdf.js безопаснее системных просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать. https://github.com/The-OP/Fox/commit/cae3ccbcbc30921a6c3cae3...
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	46. "Улучшение sandbox-изоляции в Firefox"	+4 +/–
	Сообщение от Аноним (-), 13-Май-18, 21:56
	Так безопасен, что Владимир Палант (изначальный автор адблока) накопал там кучу rce (в привилегированном контексте) уязвимостей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 14-Май-18, 19:44
	> просмотрщиков, благодаря песочнице. Коли не в теме - не надо вякать. Спасиб, я видел образчик такой JS-безопасности - клево оно харды сканило, наплевав на рассказы про "безопасность". Кроссплатформенно. Извини но настолько грубой нестыковки наблюдаемых реалий и заявлений разработчиков в вопросах безопасности достаточно и 1 раз для переоценки ситуации.
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	17. "Улучшение sandbox-изоляции в Firefox"	–1 +/–
	Сообщение от пох (?), 12-Май-18, 15:56
	> Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	20. "Улучшение sandbox-изоляции в Firefox"	+2 +/–
	Сообщение от Аноним (-), 12-Май-18, 16:01
	> по-моему, ровно наоборот - вон сколько гoвнoкода, пригодного только для одного лишь > линукса, нашлепали. Других юникс-систем с точки зрения манки-кодера ведь нету. Потому что отличаются в деталях, а тестить разработчику среднего пошиба один черт не на чем. Поэтому соляра может до упора какой там еще /dev/poll реализовывать, или что там у нее. Но лично мне будет не на чем это протестировать. Да и плевать мне как оно там работает - я это не видел и не увижу никогда, имхо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Улучшение sandbox-изоляции в Firefox"	–3 +/–
	Сообщение от пох (?), 12-Май-18, 21:43
	> Потому что отличаются в деталях user namespaces - это не детали, это мертвый технологический тупик, в котором линукс по уши увяз. ТАК это делать больше никто и нигде не будет, поскольку насмотрелись. > Но лично мне будет не на чем это протестировать. угу, виртуалки уже запрещены, за них десять лет дают? (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными платформами, и собрать ее на деньги мазилы тоже никак - все ушли на равные права п-сам и членодевкам)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 12-Май-18, 23:58
	Что там, в тупике-то?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 14-Май-18, 20:21
	> user namespaces - это не детали, это мертвый технологический тупик, На уровне технологий и реализации никаких фатальных провалов которые бы меня коробили я на самом деле не вижу. А то что к изначально не предназначенному для таких развлекух кернелу оно прикручивается сложно и с дурными проблемами - понимаемо. Но, знаешь, "with enough thrust, pigs fly just fine". Собственно главная заслуга Торвальдса - thrust. > в котором линукс по уши увяз. Рассусоливания о том как могло бы быть, сидючи с голым задом не возбуждают. Проприетарные системы - где-то там, не у меня. Мне они бесполезны. И какие практически значимые варианты остаются? > ТАК это делать больше никто и нигде не будет, поскольку насмотрелись. Как-то так говорили про x86 разработчики правильных высокопарных железок. И большинства этих железок с нами (уже) нет, а зачастую и фирм их сделавших. Даже у интеля был совершенно донкихотский проект, задолго до итаника. Но невзрачный 386, запасной вариант для отмахивания от конкурентов на время строительства светлого будушего - оказался дешевле и лучше. А светлое будущее с програмизмом на Аде - догоняет призрак коммунизма. > угу, виртуалки уже запрещены, за них десять лет дают? Нет, но для меня это большое приключение сильно в сторону, без понятных профитов при ощутимых затратах времени и сил. Как мне кажется остальные похоже считают. Поэтому максимум на что солярщики могут уповать - что если они пришлют патч, его включат в проект и не выкинут пока кто-то из тех кому соляра позарез нужна будет майнтайнить. Но поскольку среди солярщиков много высокопарных админов и мало кодеров, вероятность такого расклада... > (и уж конечно у разработчиков тормозилы нет тестовой среды со всеми возможными > платформами, и собрать ее на деньги мазилы тоже никак - все > ушли на равные права п-сам и членодевкам) Я думаю что им все это просто не надо, прикидывая соотношение долботни и ради чего она затевается. Они для линя то нормально сабж сделать не могут, хотя там несколько сисколов, и вообще, если даже не знать каких, готовую запускалку можно у хромиума скопипи...ть. А ты им про соляру. Ты с какой планеты? :)
	Ответить \| Правка \| К родителю #36 \| Наверх \| Cообщить модератору


	25. "Улучшение sandbox-изоляции в Firefox"	+1 +/–
	Сообщение от Kuromi (ok), 12-Май-18, 16:52
	>> для платформы Linux, но к сожалению данное новшество не было отражено в официальном списке изменений > Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. Как будто это нвовость. Не буду напоминать про отсутвие аппаратного декодирования видео, вялую разрабку аппаратного ускорения композинга и вывода на экран под Линуксом (притом что под Виндоус это все уже официально есть), так они даже свои WebExtentions под Линуксом в отдельном потоке не ерализовали. Было в Виндоус, кажется начиная с 60-ого есть и под Макинтошем, Линукс? "Может быть в 2018-ом". И это при том, что есть пара непритяных багов с WebEXt которые решаются именно включением отдельного процесса, их, соотвественно, отдельно не исправляют - остается только ждать.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	27. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Kuromi (ok), 12-Май-18, 17:15
	> Автор новости может прокомментировать? А то даже ссылки на багтрекер нет, где > собственно это изменение делали ( Вот ваша ссылочка в Багзиллу - https://bugzilla.mozilla.org/show_bug.cgi?id=1376910 Но боюсь искомого ответа ПОЧЕМУ там нет. Могу только предположить что 1) до POSIX IPC еще не дошли руки, все таки играничения наращиваются постепенно, да и разработчков там не бесконечное количество 2) блокируют все что возможно заблокировать, так как такая тенденция
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	33. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от КО (?), 12-Май-18, 20:25
	>Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. И это коментарий на Linux специфичную фичу. Которой все одно почти никто в здравом уме пользоваться не будет. Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. Вот ее и не стали описывать. Ну как не стали, нормальные пользователи линя могли и в версионке посмотреть. :)
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	40. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 12-Май-18, 23:16
	Причём тут рут? Запретить браузеру заливать в Интернет мои файлы без спроса, или там микрофоном пользоваться, или программы какие запускать — по-моему, не так уж плохо. А фича эта не совсем Linux-специфическая, сейчас обкатывается аналогичный патч для OpenBSD, использующий pledge.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 13-Май-18, 21:59
	>>Ибо предоставлять браузеру рута в надежде. что он лучше начнет сам себя ограничивать, это та еще возможность. для работы с capability root не нужен. firejail прекрасно без рута работает.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	42. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 13-Май-18, 01:00
	> Мда. Очередное свидетельство, насколько им положить на пользователей ОС, отличных от винды. Совсем не правда, линуксоид. Про мак всегда пишут. Про андроид тоже. Так что ты один в своей печали вместе с бсд, не стоит на винду злиться.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	44. "Улучшение sandbox-изоляции в Firefox"	+1 +/–
	Сообщение от анон (?), 13-Май-18, 03:36
	А при чём тут bsdшнники?Мы локти не кусаем в ожидании вендокопца.Пилим себе потихоньку,пока остальные нас хоронят ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Улучшение sandbox-изоляции в Firefox"	+/–
	Сообщение от Аноним (-), 14-Май-18, 19:01
	За что вам респект и уважуха в отличии от покусанных блохастым ногоедом.
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от Аноним (-), 12-Май-18, 13:56
Зачем эти возможности изначально?
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от Аноним (-), 12-Май-18, 14:16
Эти ламерозные скриптокидозники так до сих пор и не смогли в clone() с отпиливанием браузера в приватные namespaces, чтобы атакующий по всей системе не шарился? Хромиум это делает уже лет, наверное, пять, если не больше. И кода там для этого мизер, а эффект от него - очень даже.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Улучшение sandbox-изоляции в Firefox"	+/–
Сообщение от Аноним (-), 12-Май-18, 15:18
>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать не будет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Улучшение sandbox-изоляции в Firefox"	+1 +/–
	Сообщение от Kuromi (ok), 12-Май-18, 16:56
	>>Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. > Я поавильно понимаю, что в Debian и RedHat эта улучшенная sandbox-изоляция работать > не будет? Будет, если вручную включить user namespaces. Начиная с 7.2 в Рэд Хате оно есть, надо только включить - https://ru.scribd.com/document/357498357/User-Namespace-in-R...
	Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Улучшение sandbox-изоляции в Firefox"	+1 +/–
Сообщение от X4asd (ok), 12-Май-18, 15:29
> В обычных условиях для настройки sandbox в Firefox требуется предоставление полномочий CAP_SYS_ADMIN, CAP_SYS_CHROOT и CAP_SET(UG)ID, которых достаточно для получения полноценных прав пользователя root. Применение user namespaces позволяет получить необходимые права в отдельном окружении без поднятия привилегий основного процесса. Но из-за обилия уязвимостей, которые можно эксплуатировать только при включенном user namespaces, данную возможность часто отключают, например, по умолчанию user namespaces отключен в Debian и Red Hat Enterprise Linux, но активен в Ubuntu и Fedora. а также (не включено) в Arch Linux и куче других линуксов. проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения разрешается делать user_namespaces, а все остальные линуксы этого избегают! вообщем новость молодцы что ранее не осветили, так как толку от такой "изоляции" получается почти ни какого нет.
Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Улучшение sandbox-изоляции в Firefox"	–2 +/–
	Сообщение от Аноним (-), 12-Май-18, 16:06
	> проще было так и написать что "Ubuntu и Fedora" в качестве оскдючения > разрешается делать user_namespaces, а все остальные линуксы этого избегают! Еще дебиан и почти все его деривативы забыл. Всего ничего. А так что там осталось то? Арч и гента у чокнутых скрипткидисов? На них ориентироваться себе дороже, там двух одинаковых систем не найдешь, поэтому у одного не заработает одно, у другого другое, у третьего третье, а разработчику при виде всего этого останется разве что застрелиться, потому что нормально работать это месиво не будет в принципе.
	Ответить \| Правка \| Наверх \| Cообщить модератору