Vlákno názorů k článku
Bezpečnost webového prohlížeče v Linuxu od Jiří Eischmann - Zrovna včera jsem začal používat Firefox na Waylandu...

Zrovna včera jsem začal používat Firefox na Waylandu a sandboxovaný ve Flatpaku, čímž jsem některé z těch bodů vyřešil. Teď ještě zapracovat na tom zbytku :-)

Proč badatelný? Používám GNOME na Waylandu už skoro rok na třech různých počítačích a žádný úbytek výkonu nepozoruji (tím nechci říct, že na světě neexistuje hardware, kde je GNOME na Waylandu pomalejší než na X11). Naopak Firefox běžící nativně na Waylandu by měl mít určitý výkonnostní nárůst oproti běhu na XWaylandu, ale typicky je to v řádu jednotek procent, takže to nijak nepozoruji.

Uz ma FF ve Flatpaku dobre nastaveny sandbox? Kdyz jsem ho naposledy zkoumal, tak zatim bylo zabalickovano, ale sandbox poradne nastaveny nebyl.

Ty dostupné zatím nemají, protože Firefox zatím úplně neumí s portály, takže je ten sandbox částečně otevřený jako ústupek uživatelské přívětivosti, ale není problém si změnit nastavení toho flatpaku s Firefoxem a ten sandbox uzavřít.

Co všechno to pak umí izolovat?

* Více separátních profilů Firefoxu
* Čtení citlivých informací ze schránky
* Přepsání schránky (zkopíruju číslo bankovního účtu a než ho vložím, mám ve schránce jiné číslo)
* Přístup ke kameře a mikrofonu (s tím, že bych někdy to chtěl třeba dočasně povolit)
* Přístup do jiných adresářů než profil Firefoxu a řekněme ~/Downloads
* Možnost otevřít dialog pro heslo, který bude k nerozeznání od dialogu jiné aplikace

* Separátní profily Flatpak neřeší. Lze používat více instalací vedle sebe, ale ne víc profilů stejné aplikace. Sanboxing Firefoxu se zaměřuje na izolaci celé aplikace, ne izolaci v rámci aplikace.
* Popravdě nevím, jak přesně schránka ve Waylandu funguje, ale vzhledem k tomu, že je sdílená s aplikacemi bežícími na X, aby bylo možné rozumně kopírovat mezi aplikacemi na Waylandu a na XWaylandu, tak si myslím, že tam nějaká zvýšená bezpečnost není.
* Přístup k hardwaru lze explicitně povolit nebo zakázat v metadatech daného flatpaku. Nejsem si jistý, jestli to lze dělat za běhu. Do budoucna se plánuje nasazení video serveru, který má momentálně pracovní označení Pinos a který by měl rozšiřovat PulseAudio. Aplikace už nebude mít přímý přístup k hardwaru, ale řekne si o přístup k webkameře Pinos a to mu video z webkamery poskytne v podobě streamu. Podobně to bude fungovat se sdílením obrazovky, mikrofonem apod. Nicméně zatím jsem viděl jenom demo, do produkce to hotové ještě není.
* Na Waylandu může aplikace kreslit pouze do svého okna, nicméně nic jí nebrání v tom si otevřít nové okno, takže teoreticky může aplikace na pozadí vyhodit okno s dialogem, které se bude tvářit jako od jiné aplikace, ale působilo by to hodně podezřele.

Jinak si nemyslím, že Wayland+Flatpak tak, jak jsou v distribucích nastavení, míří na 100% bezpečnost. Od určitého momentu už to je na úkor pohodlnosti, takže to bude vždy určitý kompromis. Nemyslím si, že je cílem bezpečnost jako v Qubes OS, kde to je pro ně nejvyšší priorita, ale občas už na úkor uživatelské přívětivosti.