Firefox'u Korumalı Modda nasıl çalıştırırım? (yani düşük bütünlük düzeyinde)

9

Firefox'un Chrome ve Internet Explorer'dan farklı olarak Düşük Zorunlu Seviyede (Korumalı Mod, Düşük Bütünlük) çalışmadığını fark ettim

Google Chrome:

alternatif metin

Microsoft Internet Explorer:

resim açıklamasını buraya girin

Mozilla Firefox:

alternatif metin

Aşağıdaki Microsoft'un talimatlarına , elle kullanarak Düşük Bütünlüğü Moduna Firefox'u zorlayabilirsiniz:

icacls firefox.exe /setintegritylevel Low

Ancak Firefox, yeterli haklarla çalışmamaya iyi tepki vermiyor:

alternatif metin

Tarayıcımın benden daha az hakla çalıştığını bilmenin güvenliğini seviyorum. Firefox'u düşük haklar moduna geçirmenin bir yolu var mı? Mozilla bazen "korumalı mod" eklemeyi planlıyor mu? Birisi Firefox'un düşük haklar modunu işlememesi için bir çözüm buldu mu?

Güncelleme

Bir itibaren Mike Schroepfer ile Temmuz 2007 mülakat , Mozilla Vakfı Mühendislik Başkan Yardımcısı:

... ayrıca savunmaya derinlemesine inanıyoruz ve gelecekteki sürümlerde güvenliği artırmak için korumalı modu ve diğer birçok tekniği araştırıyoruz.

Üç yıl sonra bir öncelik gibi görünmüyor.

Güncelleme

  • 2013/09/28
  • 5 yıl sonra
  • Firefox 24.0
  • hala korumalı modu desteklemiyor
windows  firefox  security  uac 
Ian Boyd
kaynak
Tanrım, IE neden "kötü güvenlik" rapini alıyor?
Mark Sowul

Yanıtlar:

4

Maalesef şu anda Firefox'u Korumalı Mod'da çalıştırmanın bir yolu yok.

64 bit Windows kullanmıyorsanız, Sandboxie'yi kullanarak benzer bir şey elde edebilirsiniz .

Dan Walker
kaynak
4
Mozilla'nın hata takipçisini hızlıca araştırdım ve bütünlük seviyeleriyle ilgili hiçbir şey bulamadım. Bu, şu andan beri onları desteklemenin planlanmadığını göstermektedir. Hata izleme sistemi ve geliştiricilerle ilgili önceki deneyimim göz önüne alındığında, iki seçeneğin makul olduğunu düşünüyorum: (1) Dürüstlük düzeyinde destek isteyen bir bilet açarsam, yarım saat içinde başka bir biletin kopyası olarak kapanır Kimsenin aradığı bir isim tahmin edebilir ve (2) Windows'a özgü işlevselliği destekleme fikri , birçok geliştiriciyi korkutur.
Joey
Firefox'un Windows dışında platformda var olduğunu hiç farketmedim. Bir Mac ve Linux sürümü olduğu mantıklı, sadece bir Windows indirmesi gördüm.
Ian Boyd
Bence ücretsiz ve mevcut VM aletleri gök gürültüsü kum havuzundan çaldı.
kmarsh
"O yapamaz" Oh, çünkü söyliyim, "Yapamam" cevap, yanıt olarak işaretlenebilir edildi olan geçerli bir cevap.
Ian Boyd
1

Firefox'u aşağıdaki komutları kullanarak düşük bütünlük modunda çalıştırabilirsiniz:

icacls "C:\Program Files\Mozilla Firefox\Firefox.exe" /setintegritylevel low
icacls "C:\Program Files\Mozilla Firefox" /setintegritylevel(oi)(ci) low /t

icacls "C:\Users\*username*\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\Downloads" /setintegritylevel(oi)(ci) low /t

Kullanıcı adını özelleştirerek sisteminizdeki her kullanıcı için ikinci grubu çalıştırmanız gerektiğini , aksi takdirde "Firefox zaten çalışıyor" mesaj kutusunu alacaklarını unutmayın.

Ancak bu kurulum aşağıdaki tuhaflıklara neden olur:

  1. Profil yöneticisi doğru davranmayabilir.
  2. Firefox'u her başlattığınızda bir güvenlik uyarısı alırsınız.
  3. İndirmeler yalnızca düşük bütünlüklü dizinlere yerleştirilebilir (dolayısıyla Yüklemeler yukarıda düşük bütünlük olarak işaretlenir).
  4. İndirme işlemlerini doğrudan Firefox'tan açmak genellikle başarısız olur.
Simon Capewell
kaynak
Bu adımların gerçekleştirilmesinin esasen "korumalı mod Firefox" un amacını bozacağına dikkat edilmelidir. FireFox'un diğer konumlara (Temp, Mozilla, İndirmeler) yazmasına izin vererek, FF'nin Düşük zorunlu bütünlük düzeyinde çalışmasını amaçlamış olursunuz . Daha da kötüsü, tüm düşük ayrıcalık uygulamalarının (yani, Chrome, medya yürütücüm) bu konumlara yazabilmesidir. Başka bir deyişle: sadece burada bir şey kazanmakla kalmaz, aslında güvenliği de kaybedersiniz. FF'yi standart bir kullanıcı olarak çalıştırmak ve diğer klasörleri yalnız bırakmak daha iyi.
Ian Boyd
Ancak tüm bunları söyledikten sonra, makaleye bir +1 veriyorum, çünkü Düşük privelage uygulamalarının sadece belirli konumlara nasıl yazabileceğini göstermeye yardımcı oluyor . Ama bir kez daha: Bu cevabın söylediklerini yapmayın. Kötü bir çözüm örneğidir - herkesin tam erişime izin vermek için Windows ve Program Dosyaları klasöründeki izinleri değiştirmek gibi, çünkü bir program oraya yazabilmek ister. Sen işleri daha da kötüleştiriyorsun.
Ian Boyd
0

Ian, korumalı modun nasıl çalıştığını anlamıyorsun. Simon Capewell'in çözümü, Firefox'un güvenliğini artırmanın geçerli bir yoludur. Örneğin, çözümünün bir şekilde düşük bütünlük düzeyinin korunmasının tamamını devre dışı bıraktığını iddia etmek tamamen yanlıştır. Chrome ve IE, indirilenler korumalı IE modunda bile indirme klasörüne yazılırken aynı yöntemleri kullanır. Aksi takdirde hiçbir şey indiremezsiniz. IE, bir tür sargı kullanabilmesine rağmen, ana işlemi Chrome'un yaptığı gibi ek güvenlik için güvenilir olmayan verileri işleyenlerden izole etse de, bu yukarıda açıklanan yöntemlerde olduğu gibi tartışmalıdır, Firefox'un tüm bileşenleri sisteme müdahale etmekten izole edilmiştir. Oysa Chrome'da ana işlem Orta bütünlükte ve oluşturma işlemleri Düşük bütünlükte çalışır.

Firefox'u bu şekilde yapılandırmak Windows ve Program Dosyalarını modifikasyondan korur, böylece Firefox'u makinenizin geri kalanından izole eder. Örneğin, Firefox'un kötü amaçlı yazılımları Başlangıç ​​klasörünüze bırakması veya başlangıçta indirilenler klasörünüze (firefox'un yazmasına izin verilir) bırakılan kötü amaçlı yazılımları otomatik olarak başlatan bir kayıt defteri girdisi eklemesi engellenir. Ayrıca, Firefox'un düşük bütünlük düzeyi olarak çalıştırılması, bu işlemin güvenlik bağlamında kod çalıştırmak için uzak bir işlemde bir iş parçacığı oluşturma gibi yöntemlerle uygulanan ACL'leri atlamaya çalışan Firefox'a karşı koruma sağlar. Firefox'un dosyaları Geçici Klasörlere ve muhtemelen Chrome ve IE gibi yürütülebilir dosyalara bırakmasına izin verilir. Bu nedenle, bütünlük düzeyleri SRP veya AppLocker ile birleştirilmelidir, Firefox'un yazmasına izin verilen dizinlere düşen herhangi bir yürütülebilir dosyanın yürütülmesini önlemek için. Bu gereksinim IE ve Chrome'da da mevcuttur.

Tamamlandığında, Firefox sürücü indirme işlemlerine karşı sertleştirilecek ve Korumalı Mod IE'nin SRP veya Applocker ile birleştirilmediğinde yeterli koruma sağlamadığı için IE'den daha fazla korunacaktır. Hiçbir şekilde Firefox'un Korumalı Mod Chrome ve Korumalı Mod IE'nin yapmasına izin verilenlerden farklı olan kendi dizinine ve geçici klasörlerine yazmasına izin vermiyor.

Bu çözümden tek tuzak: Çalıştırılabilir dosyaları daha sonra çalıştırdığım İndirilenler klasörümde bırakma alışkanlığım var. Firefox indirildikten sonra istismar edilirse bu yürütülebilir dosyalar kurcalanabilir. Bu nedenle, bir dosyayı indirdikten sonra İndirilenler klasörünün dışına taşıyın. Ayrıca, izin verilen geçici klasördeki geçici bir dosyayı değiştirmek için Firefox'ta bir güvenlik açığından yararlanma riski çok düşüktür; bu, daha sonra bu geçici dosyayı kullandığında daha yüksek bir bütünlük düzeyinde işlemdeki bir güvenlik açığından yararlanır. Ancak, bu asla olmayacak ve sadece teorik bir zayıflıktır.

İlave okumalar / Kaynaklar:

Windows 7 SRP (AppLocker'ınız olmasa da Home Premium'da çalışır):

http://www.wilderssecurity.com/showthread.php?t=262686

Bütünlük Seviyeleri:

http://www.symantec.com/connect/articles/introduction-windows-integrity-control

Korumalı Mod IE:

http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx

"Drive-by Downloads" ile İlgili Temel Bilgiler:

http://www.wilderssecurity.com/showthread.php?t=241732

Windows Korumalı Alan'da Chrome'un ayrıntıları (yalnızca bütünlük düzeylerinden daha fazlası):

http://www.chromium.org/developers/design-documents/sandbox

işkence
kaynak
1
Düşük Bütünlük korumasını kaldırdığınız ortak konumların sayısı önemli değildir. Belirli yerleri eklenmesi artık korunacak olan korumalı mod amacıyla mağlup. Kendi zihninizde yazmanın şu kararını aldınız Tempve Mozilla AppData klasörü kabul edilebilir bir ödünleşmedir; çünkü hepimiz, programların Windows ve ProgramFiles'a erişmesini gerçekten önlemek istediğimizi biliyoruz. Sorun: FF'nin ne depoladığını bilmiyorum AppData\Mozilla, ancak güncelleme URL'lerini zehirleyen veya uzantılarımı değiştiren kötü amaçlı yazılımlar istemiyorum. Bu, güvenlik noktası.
Ian Boyd
Yani, Korumalı Mod altında Firefox'u kullanmaya değer olduğuna inanmıyorsunuz çünkü Firefox'un kendisi tehlikeye girebilir mi? IE'nin kendisi, korumalı modda çalışırken bile teorik olarak tehlikeye girebilir. Korumalı Mod'un amacı, sistemin güvenilmeyen verilerle arabirim oluşturan işlemlerden yalıtılmasıdır ve bu nedenle programın kendisinden korunması değil, sistemin geri kalanından ödün vermek için kullanılabilir. Orta bütünlük altında, Firefox zaten Temp ve AppData'ya yazabilir, böylece diğer tüm konumların haklarını önlemek güvenlik açısından önemli bir kazançtır.
Bununla birlikte, şifrelerinizi korumak istediğinizde anlaşılabilir olan uzantılarınızın bütünlüğü ile ilgileniyorsanız, sadece bütünlük düzeyi kurallarını hassaslaştırmanız gerekir. bütünlük düzeyleri, uygulamanın bütünlük düzeyinin üzerindeki okuma veya yürütme işlemlerini engellemez. Yalnızca Geçici klasörü izin verildiği gibi işaretleyin ve Firefox'un yazmasını istediğiniz yapılandırma dosyası konumlarını AppData'da bulunan uzantı klasörünü hariç tuttuğunuzdan emin olun. güncelleme URL'leri kullanıcının erişebileceği yapılandırmada saklanmaz: kb.mozillazine.org/… .
ProcessMonitor, bir uygulamanın bütünlük düzeyi nedeniyle reddedilen hangi işlemleri gerçekleştirmeye çalıştığını belirlemede yardımcı olabilir. Basitçe Application name = theappinquestion.exe ve Result = ACCESS DENIED için filtreleri ayarlayın ve gereken dosyaların veya kayıt defteri anahtarlarının bütünlük düzeylerini kolayca düzeltebilirsiniz. İcacls ile dosyalar, regil ile reg tuşları ( minasi.com/apps ). Bu yöntemi kullanarak, SC2 beta'yı 5 dakikadan kısa bir sürede düşük bütünlük modunda çalışacak şekilde yapılandırabildim.
Herkesin Düşük Zorunlu Dürüstlük düzeyinde başka bir yazılım çalıştırdığım gerçeğini kaçırdığını düşünüyorum; ie ve Chrome (veya FireFox) dışındaki programlar. Örnek bir medya oynatıcıdır; izin verilen iki konum dışında bir şey yazmak için izin verilmemesi için bir codec bir arabellek taşması kod yürütme istiyorum. Ve kesinlikle kodun Downloadsklasörüme, klasörüme yazmasını Tempveya Firefox ile ilgili ayarları değiştirmesini istemiyorum . bir programın çalışması için bilgisayarımdaki güvenlik bariyerlerini kaldırmamalıyım, program güvenlik bariyerlerini bükmelidir.
Ian Boyd
-1

Düşük bütünlük düzeyi işlemiyle yürütülen işlemler düşük bütünlük düzeyini kendileri miras aldığından SRP gerekli değildir. Ancak, başka bir koruma katmanıdır ve bu nedenle hala iyi bir fikirdir!

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.