Bezpečnost webového prohlížeče v Linuxu

To používate Wesfield?

Westfield: Wayland For HTML5/JavaScript
11 May 2017
Westfield is a new independent project that provides a Wayland protocol XML parser and generator for JavaScript.

Developer Erik De Rijcke announced Westfield as a "nearly fully compatible on the wire with the existing libwayland implementation", but libwayland is for C while Westfield is for JavaScript on client-side and Java server-side. Communication with Westfield is done using WebSockets.

In terms of the intended usage of Westfield, "a browser could run a wayland compositor implemented with html5 webgl/canvas...

https://www.phoronix.com/scan.php?page=news_item&px=Wayland-Westfield

Co se ti nezda?

Pozerám, že som neortodoxný

>Dále radí používat dva různé prohlížeče, třeba Firefox s rozšířeními NoScript, Privacy Badger a >HTTPS Everywhere pro velmi citlivé stránky

mám

Firefox s rozšířeními NoScript a HTTPS Everywhere pro bežné stránky.

>a Chrome nebo Chromium pro normální stránky. Pro ně
>je rozšíření Privacy Badger a HTTPS Everywhere také doporučeno.

a Chromimum alebo Opera pre citlivé stránky, a len pre ne, bez rozšírení

Toto platí u mňa pre Ubuntu, openSUSE aj macOS .

Pochopitelne. Ale neni to uplne snadno dostupne reseni pro kazdeho...

S trochou stesti casem bude.

LUKS

Záleží, jaké hrozby chceme řešit. A u opatření potom záleží na celém schématu, ne tolik na jedné technologii.

Izolace aplikací we Waylandu je určitě fajn věc, pokud ovšem máme izolováno i jinde. Jinak to může být celkem bezcenná hračka. Pokud řešíme lokálního útočníka, který u nás spustil jinou aplikaci a má přístup do ~, může zkoušet různé jiné nepravosti – od nahrazení cache v prohlížeči (zapíšu mu přímo do cache nějaký špehovací JS s dlouhou expirací…) přes nahrazování desktop files (uživatel pak spustí mírně jinou aplikaci…) až po alias sudo v .bashrc. A to jsem nemluvil o takových věcech jako „debugging“ jiného procesu. Toto Wayland nevyřeší.

Separátní prohlížeče (popř. separátní profily stejného prohlížeče) – tím vyřešíme zájmena CSRF a uXSS, pokud se ale útočníkovi podaří vykonat vlastní kód, je to bez sandboxingu bezzubé.

Firejail – bohužel jsem nenašel, před čím má přesně chránit, to autoři moc nezdokumentovali. Co jsem ale zkoušel, ochrání spíše proti menším zranitelnostem jako path traversal v prohlížeči. Pokud máme větší zranitelnost nebo pokud je aplikace přímo škodlivá, Firejail moc nepomůže.

Subgraph OS: Asi to bude lepší než Firejail (navíc je to celý systém, ne snaha vyřešit jednu sice věc ve větším schématu), ale, co jsem četl, zas tak silné to taky nebude: https://micahflee.com/2017/04/breaking-the-security-model-of-subgraph-os/

Qubes OS mi přijde jako nejlepší volba, pokud má uživatel dost RAM

Myslis QubeS? Tam je pointa v tom, ze kdyz ti nekdo prokopne jednu Fedoru (trebas tu na porno a Facebook), tak je tenhle problem (pokud nema utocnik dalsi eso v rukavu) odizolovany od tve pracovni identity, bankovnictvi a dalsiho.

Jenom doplním, že Qubes OS není omezený na Fedoru. Je tu i oficiální template pro Debian a pak tu jsou templates pro Whonix, Ubuntu a Arch.

Ano, v dom0 je jen upravená Fedora, ale to je tak to poslední místo, kde mě zajímá konkrétní distribuce. Spíš je trochu škoda, že je staršího data, takže s novějším HW jsem potřeboval novější kernel. Ten je naštěstí v repositářích (unstable), což jsem ale zjistil až po kompilaci l

Sten to už odpověděl, já jen přidám, že toho je trošku víc. Oproti kombinaci Fedora + VirtualBox (a do jisté míry i oproti Fedora + Xen) to má pár výhod:

* Bezpečnost – tak, jak je Xen v QubesOS použit, izoluje QEMU do dalšího malého virtuálního stroje. Tím předchází spoustě bezpečnostních problémů. Dále tu není nič jako defaultně připojený mikrofon atd. Qubes taky odděluje například připojení k síti – síťovou kartu obsluhuje separátní virtuální stroj a dom0 (ta privilegovaná část) ani nemá přímo přístup k síti.
* HW nároky – Qubes umí ve VM spustit redukované GUI (bez window manageru atd., což je v seamless módu celkem zbytečnost) a umí za běhu přidělovat a odebírat RAM. Díky tomu není problém mít spuštěných hodně virtuálních strojů. S 16GiB RAM není problém jich mít třeba deset (i víc) s tím, že jeden z nich zabirá polovinu a zbytek se dělí o zbylých 8GiB… A stačí jim to, některé VM si vystačí s třeba 300MiB RAM nebo i méně.
* Integrace – QubesOS má například pěkný seamless mód.

Zrovna včera jsem začal používat Firefox na Waylandu a sandboxovaný ve Flatpaku, čímž jsem některé z těch bodů vyřešil. Teď ještě zapracovat na tom zbytku :-)

Proč badatelný? Používám GNOME na Waylandu už skoro rok na třech různých počítačích a žádný úbytek výkonu nepozoruji (tím nechci říct, že na světě neexistuje hardware, kde je GNOME na Waylandu pomalejší než na X11). Naopak Firefox běžící nativně na Waylandu by měl mít určitý výkonnostní nárůst oproti běhu na XWaylandu, ale typicky je to v řádu jednotek procent, takže to nijak nepozoruji.

Uz ma FF ve Flatpaku dobre nastaveny sandbox? Kdyz jsem ho naposledy zkoumal, tak zatim bylo zabalickovano, ale sandbox poradne nastaveny nebyl.

Ty dostupné zatím nemají, protože Firefox zatím úplně neumí s portály, takže je ten sandbox částečně otevřený jako ústupek uživatelské přívětivosti, ale není problém si změnit nastavení toho flatpaku s Firefoxem a ten sandbox uzavřít.

Co všechno to pak umí izolovat?

* Více separátních profilů Firefoxu
* Čtení citlivých informací ze schránky
* Přepsání schránky (zkopíruju číslo bankovního účtu a než ho vložím, mám ve schránce jiné číslo)
* Přístup ke kameře a mikrofonu (s tím, že bych někdy to chtěl třeba dočasně povolit)
* Přístup do jiných adresářů než profil Firefoxu a řekněme ~/Downloads
* Možnost otevřít dialog pro heslo, který bude k nerozeznání od dialogu jiné aplikace

* Separátní profily Flatpak neřeší. Lze používat více instalací vedle sebe, ale ne víc profilů stejné aplikace. Sanboxing Firefoxu se zaměřuje na izolaci celé aplikace, ne izolaci v rámci aplikace.
* Popravdě nevím, jak přesně schránka ve Waylandu funguje, ale vzhledem k tomu, že je sdílená s aplikacemi bežícími na X, aby bylo možné rozumně kopírovat mezi aplikacemi na Waylandu a na XWaylandu, tak si myslím, že tam nějaká zvýšená bezpečnost není.
* Přístup k hardwaru lze explicitně povolit nebo zakázat v metadatech daného flatpaku. Nejsem si jistý, jestli to lze dělat za běhu. Do budoucna se plánuje nasazení video serveru, který má momentálně pracovní označení Pinos a který by měl rozšiřovat PulseAudio. Aplikace už nebude mít přímý přístup k hardwaru, ale řekne si o přístup k webkameře Pinos a to mu video z webkamery poskytne v podobě streamu. Podobně to bude fungovat se sdílením obrazovky, mikrofonem apod. Nicméně zatím jsem viděl jenom demo, do produkce to hotové ještě není.
* Na Waylandu může aplikace kreslit pouze do svého okna, nicméně nic jí nebrání v tom si otevřít nové okno, takže teoreticky může aplikace na pozadí vyhodit okno s dialogem, které se bude tvářit jako od jiné aplikace, ale působilo by to hodně podezřele.

Jinak si nemyslím, že Wayland+Flatpak tak, jak jsou v distribucích nastavení, míří na 100% bezpečnost. Od určitého momentu už to je na úkor pohodlnosti, takže to bude vždy určitý kompromis. Nemyslím si, že je cílem bezpečnost jako v Qubes OS, kde to je pro ně nejvyšší priorita, ale občas už na úkor uživatelské přívětivosti.

Kontejnerizace je ve zprávičce zmíněna, ale sama o sobě neřeší problém X11. Kontejner + Wayland je asi ideál :)