The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Представлен новый механизм защиты браузера Chrome в Linux

07.09.2012 21:04

Разработчики web-браузера Chrome рассказали о следующем поколении средств для обеспечения безопасности выполнения Chrome на платформе Linux. Начиная с вышедшей на днях экспериментальной версии Chrome 23.0.1255.0 при работе в Linux применяется расширенный режим изоляции, реализованный в виде многоуровневой системы sandbox-ов. Первый уровень защиты обеспечивает setuid-sandbox, блокирующий доступ к файловой системе, сети и сторонним процессам (процесс помещается через CLONE_NEWPID в отдельный PID namespace, выполняется chroot в пустую директорию и блокируется сеть через CLONE_NEWNET). Поверх setuid sandbox дополнительно реализован seccomp-bpf sandbox, который ограничивает доступ процесса только к системным вызовам, необходимым для выполнения штатных функций.

Работа seccomp-bpf sandbox базируется на интегрированной в ядро Linux 3.5 поддержке механизма seccomp filter, позволяющий определять в приложении правила доступа к системным вызовам, в том числе учитывая передаваемые и возвращаемые аргументы. Например, seccomp filter можно применить для ограничения допустимых файловых путей при обращении к системному вызову open (можно разрешить только обращение к директории с данными браузера). Проверить активность нового режима изоляции можно через URL "about:sandbox". Режим Seccomp-BPF будет работать в 64-разрядных сборках Chrome только при наличии ядра Linux 3.5 или при использовании дистрибутива Ubuntu 12.04, в котором seccomp filter реализован через патчи.

  1. Главная ссылка к новости (http://blog.cr0.org/2012/09/in...)
  2. OpenNews: В Systemd реализована поддержка изоляции системных вызовов для запускаемых сервисов
  3. OpenNews: Релиз FTP сервера vsftpd 3.0.0 с поддержкой нового sandbox-режима
  4. OpenNews: Релиз ядра Linux 3.5. Обзор новшеств
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34778-chrome
Ключевые слова: chrome, limit, sandbox, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:34, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Первый уровень защиты обеспечивает setuid-sandbox, блокирующий доступ к файловой системе, сети и сторонним процессам (процесс помещается через CLONE_NEWPID в отдельный PID namespace, выполняется chroot в пустую директорию и блокируется сеть через CLONE_NEWNET).

    Правильнее назвать это namespace-sandbox, или LXC-sanbox, т.к. он использует технологии Linux namespaces (PID NS, FS NS, Net NS), разработанные в рамках проекта LXC.

     
     
  • 2.3, pavlinux (ok), 22:08, 07/09/2012 [^] [^^] [^^^] [ответить]  
  • –21 +/
    > разработанные в рамках проекта LXC.

    Угу, говна самовар! Namespaces в Plan9 точно были, может в OS/390
    Linux - это вообще, сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)

    Они есть, но я вот так, с разбегу и не вспомню...

     
     
  • 3.4, Аноним (-), 22:11, 07/09/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Угу, гoвна самовар, Namespaces в Plan9 точно были, может в OS/390

    Но только в Linux их реализация оказалась пригодна для чего-то полезного :)

    > Linux - это сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)

    Щас лопнешь и всех забрызгаешь :)

     
     
  • 4.7, pavlinux (ok), 22:33, 07/09/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> Угу, гoвна самовар, Namespaces в Plan9 точно были, может в OS/390
    > Но только в Linux их реализация оказалась пригодна для чего-то полезного

    Только с момента изобретения сие чудо посчитали избыточным,
    от чего теперече в ядре пытаются избавится включая те же древние костыли
    (Samepage Merging, ДеДупликация, и тыр и пыр.)


    >> Linux - это сборище костылей со всей планеты! Инноваций в ядре, чуть меньше нуля! :)
    > Щас лопнешь и всех забрызгаешь :)

    А ты налей и отойди.

     
     
  • 5.10, Аноним (-), 23:03, 07/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Только с момента изобретения сие чудо посчитали избыточным,

    Ты про кого?

    > от чего теперече в ядре пытаются избавится включая те же древние костыли

    а то из контекста непонятно.

    > А ты налей и отойди.

    Ок, отбежал за угол :)

     
     
  • 6.15, pavlinux (ok), 00:23, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ты про кого?

    Вспоминай, про что писал.

     
  • 3.17, Led (ok), 02:32, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Они есть, но я вот так, с разбегу и не вспомню...

    Фосфора похавай, то так скоро не вспомнишь как зовут.

     
  • 3.20, Аноним (-), 02:59, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, гoвна самовар! Namespaces в Plan9 точно были, может в OS/390
    > Linux - это вообще, сборище костылей со всей планеты!

    И тем не менее, это вполне себе нэймспэйсы. И вообще, лично мне этот костыль нравится. Всего несколько флагов в clone() а такая полезняшка получается.

     
     
  • 4.23, pavlinux (ok), 04:47, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, с виду красиво, и вселяет чувство "защищённости".
    Но любой СПЕЦИАЛИСТ по информационной безопастности,
    пошлёт эти неймспейсы в детский сад, - пластелин охранять,
    чтоб дети не сгрызли.

    Лекции читать не буду, пару аксиом:

    Два и более процесса имеющие единое ОЗУ - не защещены от взаимодействия!
    Два и более процесса имеющие единое ЦПУ - не защещены от взаимодействия!
    Процесс использующий алгоритмы динамической памяти - не защещен сам от себя!
    Процесс использующий входные/вводимые данные - это жопа. :)

     
     
  • 5.27, zhuk (?), 09:44, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Собери класстер из 8080, водрузи на них dos. Обмен между ячейками сделай через перфокарту и бумажную почту:)
     
     
  • 6.32, Аноним (-), 10:32, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Обмен между ячейками сделай через перфокарту и бумажную почту

    М-де? С каких пор носитель данных может повлиять на их неверную последующую обработку?

     
     
  • 7.39, Аноним (-), 14:35, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>Обмен между ячейками сделай через перфокарту и бумажную почту
    > М-де? С каких пор носитель данных может повлиять на их неверную последующую
    > обработку?

    Со времен машины Тьюринга, чувак.

     
  • 5.30, Аноним (-), 10:30, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Два и более процесса имеющие единое ОЗУ - не защещены от взаимодействия! Два и более процесса имеющие единое ЦПУ - не защещены от взаимодействия! Процесс использующий алгоритмы динамической памяти - не защещен сам от себя! Процесс использующий входные/вводимые данные - это жопа. :)

    Не у всех есть возможность запускать по компьютеру на каждую программу, а работать надо. Специалисту по безопасности отправится обратно в вакуум из которого он вылез.

     
     
  • 6.41, pavlinux (ok), 16:04, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Специалисту по безопасности отправится обратно в вакуум из которого он вылез.

    Кури требования к оборудованию и ПО на сертификацию по грифам ОВ и СС.  

     
     
  • 7.46, Аноним (-), 20:26, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, все поголовно работают с секреткой.
     
     
  • 8.49, pavlinux (ok), 00:33, 09/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    2-шаг Угу, все поголовно работают с ДСП 3-шаг Угу, всем поголовно нужно шифроф... текст свёрнут, показать
     
  • 5.35, saNdro (?), 13:15, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это всё сферический конь в вакууме.
    На первые два пункта как-раз и существует операционная система и "защищённый" режим процессора. Что б OS могла указывать "кому, куда и сколько" без ограничений, а все прочие только в рамках указанного.
    На вторые - всё определятся тем, каким местом программист-автор предпочитает думать.
     
     
  • 6.50, pavlinux (ok), 00:49, 09/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это всё сферический конь в вакууме.
    > На первые два пункта как-раз и существует операционная система и "защищённый" режим
    > процессора. Что б OS могла указывать "кому, куда и сколько" без
    > ограничений, а все прочие только в рамках указанного.

    А вот появляется программа которая не хочет работать в рамках указанного.
    Вроде алгоритм написан академиками, проверен 10-ю институтами, 20 комиссиями,
    утвержден на пленуме ЦК КПСС,... А вот она херакс и залезла не туда и слила
    в свое пространство, пароль от пусковой установки и заслала на gmail.com.
      
    А почему? А вот хрен её знает, - переполнение кэша, конфликт прерываний,
    race condition, SMM-дыры, а засрать GTD в x86, как два байта об асфальт.

     
  • 6.54, XDA (?), 17:23, 10/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    чувак недоговорил, а от того и проблемы.
    правильное утверждение выглядит так:
    если две задачи исполняются на одном физическом процессоре и/или на одной физической памяти, то средства защиты ПОТЕНЦИАЛЬНО могут быть взломаны и задачи могут получить данные друг друга.

    это всё равно, что у меня есть пистолет, то ПОТЕНЦИАЛЬНО я могу кого-то застрелить.
    или если у меня есть х.. то ПОТЕНЦИАЛЬНО я могу кого-то изнасиловать. продолжать можно до  бесконечности :)

     
     
  • 7.57, pavlinux (ok), 15:30, 12/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > это всё равно, что у меня есть пистолет, то ПОТЕНЦИАЛЬНО я могу
    > кого-то застрелить.
    > или если у меня есть х.. то ПОТЕНЦИАЛЬНО я могу кого-то изнасиловать.
    > продолжать можно до  бесконечности :)

    Когда взведён курок, или "стоит", в одной бане с девками, то вероятность стремится к 1.0.
    Пистолет в сейфе или мужик на диване приравниваются к отключенному компьютеру. :D

     
  • 3.28, cema (ok), 10:00, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Linux - это вообще, сборище костылей со всей планеты!

    Железная дорога второй век на костылях держится

     
     
  • 4.47, Аноним (-), 20:36, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вот и хрен там, костыли для рельсошпального скрепления применяются в основном для старых деревянных шпал, для ж/б шпал и для цельной ж/б подушки чаще применяют болты и армированные бетонные пробки. А уж тем более в случае с композитными и пластиковыми шпалами.

    The_more_you_know.jpg

     
  • 3.56, WhiteWind (??), 10:30, 12/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Павлин совсем с катушек съехал. Бедняжка
     
  • 2.55, Аноним (-), 18:59, 10/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Проект LXC? Ну-ну

    http://ru-openvz.livejournal.com/1970.html

     

  • 1.2, Я (??), 21:41, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И назовут потом всё это ChromeCubes-os, и та польская хакерша возглавит это всё
     
  • 1.6, Crazy Alex (ok), 22:15, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вся суть нынешнего веба - сначала берём неподходящий механизм а потом пытаемся его подкрутить до приемлемого состояния. Как здесь - сначала начинаем гонять недоверенный код на своей машине а потом заворачиваем его в десяток слоёв безопасности. Гугл съел всем мозг...
     
     
  • 2.19, Led (ok), 02:35, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >сначала начинаем гонять недоверенный код на своей машине а потом заворачиваем его в десяток слоёв безопасности.

    Это ты сейчас про изначально позиционирование Java?

    >Гугл съел всем мозг...

    Гугла тогда ещё не было. Бабушка с дедушкой тебе этого не рассказывали?

     
     
  • 3.21, Crazy Alex (ok), 03:32, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К вам белка пришла и джавой пугает? Где вы в новости увидели хоть слово о джаве?

    Нет, я о джаваскрипте и веб-приложениях. И гугл здесь понятно к чему - он умудрился всё это веселье чуть ли не в одиночку раскрутить.

     
     
  • 4.22, Led (ok), 04:31, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > К вам белка пришла и джавой пугает? Где вы в новости увидели
    > хоть слово о джаве?
    > Нет, я о джаваскрипте и веб-приложениях. И гугл здесь понятно к чему
    > - он умудрился всё это веселье чуть ли не в одиночку
    > раскрутить.

    Ты почитай историю: для чего изначально Java позиционировалась.

    > И гугл здесь понятно к чему - он умудрился всё это веселье чуть ли не в одиночку раскрутить.

    А Sun - не смог.

     
     
  • 5.24, Crazy Alex (ok), 05:22, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, "сетевые компьютеры" и всё такое. Плевать - мало ли у кого какие больные фантазии. Тем более что в нынешнем HTML это делается в куда более уродливом виде - ни тебе пакетов подписанных, ни байткода...
     
     
  • 6.26, Led (ok), 06:50, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, "сетевые компьютеры" и всё такое.

    Нет. Читай дальше.


     
  • 5.48, Аноним (-), 21:10, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Жава изначально предназначалась для эмбеддовки, потом просочилась всюду. Но причем тут она ваще? Выражайся яснее.
     

  • 1.8, Аноним (-), 22:39, 07/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А как работает <input type="file">?
     
  • 1.25, Тот_Самый_Анонимус (?), 06:10, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сколько же ресурсов потребует сие чудо?
     
     
  • 2.31, Аноним (-), 10:31, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько же ресурсов потребует сие чудо?

    почти не сколько


     
     
  • 3.40, Аноним (-), 15:34, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    "несколько" пишется слитно
     
     
  • 4.43, другой аноним (?), 17:04, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и через "и" (если хотели сказать в смысле "ничего не требуется", а не "немного более двух штук")
     
     
  • 5.44, Аноним (-), 17:26, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отличный пример, как безграмотность может в корне изменить смысл фразы
     

  • 1.29, Zenitur (ok), 10:29, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Состояние песочницы

    Песочница SUID Да
      Пространства имен PID Да
      Сетевые пространства имен Да
    Seccomp-legacy sandbox Нет
    Seccomp-BPF sandbox Нет
    Вы находитесь в корректной тестовой среде

    Я пошёл обновлять ведро.

     
  • 1.33, re (?), 12:46, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Песочница SUID Да
      Пространства имен PID Да
      Сетевые пространства имен Да
    Seccomp-legacy sandbox Нет
    Seccomp-BPF sandbox Да
     
     
  • 2.38, Anonim (??), 14:32, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Песочница SUID Да
      Пространства имен PID Да
      Сетевые пространства имен Да
    Seccomp-legacy sandbox Да
    Seccomp-godmode sandbox Да
    Seccomp-BPF sandbox Да
     
     
  • 3.42, anonymous (??), 16:34, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Песочница SUID Да
      Пространства имен PID Да
      Сетевые пространства имен Да
    Seccomp-legacy sandbox Да
    Seccomp-godmode sandbox Да
    Seccomp-BPF sandbox Да
    Seccomp-GTFO sandbox Да
     

  • 1.34, re (?), 12:47, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и как включить legacy?
     
     
  • 2.36, Вася (??), 14:06, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    --enable-seccomp-sandbox
     
     
  • 3.37, Вася (??), 14:09, 08/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Только смысла в этом уже не будет, наверное.

     
  • 3.53, re (?), 13:32, 10/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    --enable-seccomp-sandbox

    не работает

    Состояние песочницы

    Песочница SUID Да
      Пространства имен PID Да
      Сетевые пространства имен Да
    Seccomp-legacy sandbox Нет
    Seccomp-BPF sandbox Да
    Вы находитесь в корректной тестовой среде

     

  • 1.45, kurokaze (ok), 20:19, 08/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >выполняется chroot в пустую директорию

    А ежели он там файло создаст под завязку? Руту то будет доступно больше (если при создании фс не химичил, или после), а что насчет других юзеров?

     
  • 1.51, Аноним (-), 08:10, 09/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я буду больше уверен в своей безопасности если буду использовать за место "дырявых комбайнов" uzbl или surf.
     
  • 1.52, Bvz (?), 09:28, 09/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А чо вот взять и просто написать профиль для AppArmor уже не кошерно да?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру