จะรัน Firefox ในโหมดที่ได้รับการป้องกันได้อย่างไร (เช่นที่ระดับความสมบูรณ์ต่ำ)

9

ฉันสังเกตเห็นว่า Firefox ซึ่งแตกต่างจาก Chrome และ Internet Explorer ไม่ทำงานในระดับต่ำสุดที่บังคับ (aka โหมดที่ได้รับการป้องกันความน่าเชื่อถือต่ำ)

Google Chrome:

ข้อความแสดงแทน

Microsoft Internet Explorer:

ป้อนคำอธิบายรูปภาพที่นี่

Mozilla Firefox:

ข้อความแสดงแทน

ทำตามคำแนะนำของ Microsoftฉันสามารถบังคับ Firefox เข้าสู่ Low Integrity Mode ได้ด้วยตนเองโดยใช้:

icacls firefox.exe /setintegritylevel Low

อย่างไรก็ตาม Firefox ไม่ตอบสนองได้ดีต่อการไม่ทำงานโดยมีสิทธิ์เพียงพอ:

ข้อความแสดงแทน

ฉันชอบความปลอดภัยในการรู้ว่าเบราว์เซอร์ของฉันทำงานโดยมีสิทธิ์น้อยกว่าที่ฉันมี มีวิธีการใช้ Firefox ในโหมดสิทธิต่ำหรือไม่ Mozilla กำลังวางแผนที่จะเพิ่ม "โหมดป้องกัน" บางครั้งหรือไม่? มีคนพบวิธีแก้ปัญหาสำหรับ Firefox ที่ไม่จัดการโหมดสิทธิ์ต่ำใช่ไหม

ปรับปรุง

จากการสัมภาษณ์เมื่อเดือนกรกฎาคม 2550 กับ Mike Schroepferรองประธานฝ่ายวิศวกรรมของ Mozilla Foundation:

... เรายังเชื่อในการป้องกันในเชิงลึกและกำลังตรวจสอบโหมดการป้องกันพร้อมกับเทคนิคอื่น ๆ อีกมากมายเพื่อปรับปรุงความปลอดภัยสำหรับรุ่นอนาคต

หลังจากสามปีที่ผ่านมาดูเหมือนว่าจะไม่ได้รับความสำคัญ

ปรับปรุง

  • 2013/09/28
  • 5 ปีต่อมา
  • Firefox 24.0
  • ยังไม่รองรับโหมดที่ได้รับการป้องกัน
windows  firefox  security  uac 
Ian Boyd
แหล่งที่มา
ใช่แล้วทำไม IE ถึงได้แร็พ "การรักษาความปลอดภัยที่ไม่ดี"?
Mark Sowul

คำตอบ:

4

น่าเสียดายที่ขณะนี้ไม่มีวิธีการใช้ Firefox ในโหมดที่ได้รับการป้องกัน

หากคุณไม่ได้ทำงาน Windows 64-bit, คุณจะได้รับสิ่งที่ค่อนข้างคล้ายกันโดยใช้Sandboxie

แดนวอล์คเกอร์
แหล่งที่มา
4
ฉันเพิ่งค้นหาบั๊กของ Mozilla อย่างรวดเร็วและไม่พบสิ่งใดที่เกี่ยวข้องกับระดับความสมบูรณ์ สิ่งนี้ชี้ให้เห็นว่ามันเป็นสิ่งที่ไม่คาดคิดในขณะนี้เพื่อสนับสนุนพวกเขา จากประสบการณ์ที่ผ่านมาของฉันกับระบบติดตามบั๊กของพวกเขาและนักพัฒนาฉันคิดว่ามีสองตัวเลือกที่เป็นไปได้: (1) ถ้าฉันจะเปิดตั๋วเพื่อขอการสนับสนุนระดับความสมบูรณ์มันจะถูกปิดภายในครึ่งชั่วโมง ด้วยชื่อที่ไม่มีใครค้นหาก็สามารถเดาได้และ (2) ความคิดในการสนับสนุนฟังก์ชั่นเฉพาะของ Windows จะทำให้นักพัฒนาหลายรายตกใจ
Joey
ฉันไม่เคยรู้เลยว่า Firefox มีอยู่บนแพลตฟอร์มนอกเหนือจาก Windows มันสมเหตุสมผลแล้วที่มีรุ่น Mac และ Linux ฉันเคยเห็นเฉพาะการดาวน์โหลด Windows
Ian Boyd
ฉันคิดว่าอุปกรณ์ VM ฟรีและที่มีอยู่ได้ขโมยฟ้าร้องจาก sandbox
kmarsh
โอ้และ btw คำตอบ "ไม่สามารถทำได้" ถูกทำเครื่องหมายเป็นคำตอบเพราะ "ไม่สามารถทำได้" เป็นคำตอบที่ถูกต้อง
เอียนบอยด์
1

คุณสามารถเรียกใช้ Firefox ในโหมดความสมบูรณ์ต่ำโดยใช้คำสั่งต่อไปนี้:

icacls "C:\Program Files\Mozilla Firefox\Firefox.exe" /setintegritylevel low
icacls "C:\Program Files\Mozilla Firefox" /setintegritylevel(oi)(ci) low /t

icacls "C:\Users\*username*\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\Downloads" /setintegritylevel(oi)(ci) low /t

โปรดทราบว่าคุณจะต้องเรียกใช้ชุดที่สองสำหรับผู้ใช้แต่ละคนในระบบของคุณกำหนดชื่อผู้ใช้มิฉะนั้นพวกเขาจะได้รับกล่องข้อความ "Firefox ทำงานอยู่แล้ว"

อย่างไรก็ตามการตั้งค่านี้จะทำให้เกิดนิสัยใจคอต่อไปนี้:

  1. ตัวจัดการโปรไฟล์อาจทำงานไม่ถูกต้อง
  2. คุณจะได้รับคำเตือนด้านความปลอดภัยทุกครั้งที่คุณเริ่ม Firefox
  3. การดาวน์โหลดสามารถอยู่ในไดเรกทอรีที่มีความถูกต้องต่ำเท่านั้น (ดังนั้นการดาวน์โหลดจะถูกทำเครื่องหมายว่ามีความสมบูรณ์ต่ำด้านบน)
  4. การเปิดการดาวน์โหลดโดยตรงจาก Firefox โดยทั่วไปจะล้มเหลว
Simon Capewell
แหล่งที่มา
ควรสังเกตว่าสำหรับทุกคนที่มาพร้อมกับการทำตามขั้นตอนเหล่านี้จะเอาชนะวัตถุประสงค์ของ "โหมดการป้องกัน Firefox" ด้วยการอนุญาตให้ FireFox เขียนไปยังตำแหน่งอื่น (อุณหภูมิ, Mozilla, ดาวน์โหลด) คุณจะลบวัตถุประสงค์ของการให้ FF ทำงานในระดับความสมบูรณ์ต่ำ สิ่งที่แย่กว่านั้นคือตอนนี้ทุกแอปพลิเคชันที่มีสิทธิ์ต่ำ (เช่น Chrome, เครื่องเล่นสื่อของฉัน) สามารถเขียนไปยังตำแหน่งเหล่านั้นได้ ในคำอื่น ๆ : ไม่เพียง แต่คุณไม่ได้รับอะไรที่นี่ แต่คุณสูญเสียความปลอดภัย คุณควรใช้ FF ในฐานะผู้ใช้มาตรฐานและปล่อยให้โฟลเดอร์อื่นอยู่ตามลำพัง
เอียนบอยด์
แต่เมื่อพูดไปทั้งหมดฉันยังคงให้ +1 บทความเพราะมันช่วยให้เห็นว่าแอปพลิเคชันระดับต่ำที่ยอดเยี่ยมสามารถเขียนไปยังตำแหน่งเฉพาะได้อย่างไร แต่อีกครั้ง: อย่าทำตามที่คำตอบนี้บอกไว้ นี่เป็นตัวอย่างของวิธีแก้ปัญหาที่ไม่ดีเช่นการเปลี่ยนการอนุญาตในโฟลเดอร์ Windows & Program Files เพื่อให้ทุกคนเข้าถึงได้อย่างเต็มที่เนื่องจากโปรแกรมหนึ่งต้องการเขียนที่นั่น คุณกำลังทำสิ่งต่าง ๆ แย่ลง
Ian Boyd
0

เอียนคุณไม่เข้าใจว่าโหมดการป้องกันทำงานอย่างไร โซลูชันของ Simon Capewell เป็นวิธีที่ถูกต้องในการเพิ่มความปลอดภัยของ Firefox ตัวอย่างคุณยืนยันว่าวิธีการแก้ปัญหาของเขาปิดการใช้งานการป้องกันทั้งหมดของระดับความสมบูรณ์ต่ำเป็นเท็จอย่างสมบูรณ์ Chrome และ IE ใช้วิธีการเดียวกันเนื่องจากการดาวน์โหลดจะถูกเขียนไปยังโฟลเดอร์ดาวน์โหลดแม้อยู่ในโหมดป้องกัน IE มิฉะนั้นคุณจะไม่สามารถดาวน์โหลดอะไรได้เลย แม้ว่า IE อาจใช้ wrapper ได้หลายชนิดดังนั้นการแยกกระบวนการหลักจากกระบวนการที่ไม่น่าเชื่อถือสำหรับการรักษาความปลอดภัยเพิ่มเติมเช่นเดียวกับ Chrome แต่นี่คือ moot ตามที่อธิบายไว้ข้างต้นส่วนประกอบทั้งหมดของ Firefox จะถูกแยกออกจากการดัดแปลงระบบ ในขณะที่ใน Chrome กระบวนการหลักทำงานที่ Medium integrity และกระบวนการเรนเดอร์ที่ Low integrity

การกำหนดค่า Firefox ด้วยวิธีนี้จะป้องกัน Windows และ Program Files จากการแก้ไขดังนั้นการแยก Firefox จากเครื่องที่เหลือของคุณ Firefox ถูกป้องกันไม่ให้ส่งมัลแวร์ไปยังโฟลเดอร์ Startup ของคุณหรือเพิ่มรายการรีจิสตรีซึ่งเริ่มมัลแวร์ที่ถูกทิ้งลงในโฟลเดอร์ดาวน์โหลดของคุณโดยอัตโนมัติ (ซึ่ง Firefox อนุญาตให้เขียนถึง) เมื่อเริ่มต้น นอกจากนี้การเรียกใช้ Firefox ในระดับความสมบูรณ์ต่ำจะช่วยป้องกัน Firefox ที่พยายามเลี่ยงผ่าน ACL ที่บังคับใช้โดยวิธีการต่าง ๆ เช่นการสร้างเธรดในกระบวนการระยะไกลเพื่อเรียกใช้โค้ดในบริบทความปลอดภัยของกระบวนการนั้น Firefox ยังคงได้รับอนุญาตให้วางไฟล์ลงในโฟลเดอร์ชั่วคราวและอาจเรียกใช้งานได้เช่นเดียวกับ Chrome และ IE ดังนั้นระดับความสมบูรณ์จะต้องรวมกับ SRP หรือ AppLocker เพื่อป้องกันการเรียกใช้ไฟล์เอ็กซีคิวต์ใด ๆ ที่หล่นลงในไดเรกทอรีที่ Firefox อนุญาตให้เขียน ข้อกำหนดนี้มีอยู่ใน IE และ Chrome ด้วย

เมื่อเสร็จแล้ว Firefox จะถูกต่อต้านจากการดาวน์โหลดด้วยไดรฟ์และได้รับการปกป้องมากกว่า IE เนื่องจาก Protected Mode IE ไม่ได้เมื่อไม่รวมกับ SRP หรือ Applocker ให้การป้องกันที่เพียงพอ ไม่อนุญาตให้ Firefox เขียนไปยังไดเรกทอรีของตัวเองและโฟลเดอร์ชั่วคราวใด ๆ ที่แตกต่างจากสิ่งที่ได้รับการป้องกันโหมด Chrome และโหมดป้องกัน IE ได้รับอนุญาต

ข้อผิดพลาดเพียงอย่างเดียวจากวิธีแก้ไขปัญหานี้: ฉันมีนิสัยที่ไม่ดีในการทิ้งไฟล์ปฏิบัติการไว้ในโฟลเดอร์ดาวน์โหลดซึ่งฉันเรียกใช้ในภายหลัง ไฟล์ปฏิบัติการเหล่านี้อาจถูกแก้ไขหาก Firefox ถูกใช้ประโยชน์หลังจากดาวน์โหลด ดังนั้นหลังจากดาวน์โหลดไฟล์แล้วให้ย้ายออกจากโฟลเดอร์ดาวน์โหลด นอกจากนี้ยังมีความเสี่ยงเล็กน้อยที่ช่องโหว่ใน Firefox ถูกโจมตีเพื่อแก้ไขไฟล์ชั่วคราวในโฟลเดอร์ชั่วคราวที่ได้รับอนุญาตซึ่งจะทำการเจาะช่องโหว่ในกระบวนการระดับความสมบูรณ์ที่สูงขึ้นเมื่อใช้ไฟล์ชั่วคราวนั้น อย่างไรก็ตามสิ่งนี้จะไม่เกิดขึ้นและเป็นเพียงช่องโหว่ทางทฤษฎีเท่านั้น

อ่านเพิ่มเติม / แหล่งที่มา:

Windows 7 SRP (ทำงานบน Home Premium แม้ว่าคุณจะไม่มี AppLocker):

http://www.wilderssecurity.com/showthread.php?t=262686

ระดับความซื่อสัตย์:

http://www.symantec.com/connect/articles/introduction-windows-integrity-control

โหมดป้องกัน IE:

http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx

ข้อมูลพื้นฐานเกี่ยวกับ "ไดรฟ์ดาวน์โหลด":

http://www.wilderssecurity.com/showthread.php?t=241732

รายละเอียดของ Chrome บน Windows Sandboxing (ระดับความสมบูรณ์มากกว่า):

http://www.chromium.org/developers/design-documents/sandbox

ฉมวก
แหล่งที่มา
1
ไม่สำคัญว่าจะมีจำนวนตำแหน่งที่ตั้งทั่วไปเท่าใดที่คุณลบการป้องกันความถูกต้องต่ำออก การเพิ่มสถานที่บางแห่งที่จะไม่ได้รับการป้องกันอีกต่อไปคือการเอาชนะวัตถุประสงค์ของโหมดที่ได้รับการป้องกัน คุณทำการเรียกใช้วิจารณญาณในใจของคุณเองที่เขียนถึงTempและโฟลเดอร์ Mozilla AppDataเป็นข้อตกลงที่ยอมรับได้ เพราะเราทุกคนรู้ว่าเราต้องการป้องกันไม่ให้โปรแกรมเข้าถึง Windows และ ProgramFiles ปัญหาคือ:ฉันไม่รู้ว่า FF เก็บอะไรAppData\Mozillaแต่ฉันแน่ใจว่าไม่ต้องการให้มัลแวร์ทำให้ URL ที่อัปเดตเป็นพิษหรือแก้ไขส่วนขยายของฉัน นั่นคือจุดรักษาความปลอดภัย
เอียนบอยด์
ดังนั้นคุณไม่เชื่อว่ามันคุ้มค่าที่จะใช้ Firefox ภายใต้โหมดป้องกันเพราะ Firefox เองอาจถูกโจมตี? IE เองสามารถถูกทำให้เสียหายตามหลักทฤษฏีแม้ในขณะที่ทำงานภายใต้โหมดการป้องกัน เป้าหมายของโหมดที่ได้รับการป้องกันคือการแยกระบบออกจากกระบวนการที่อินเตอร์เฟสกับข้อมูลที่ไม่น่าเชื่อถือและอาจถูกนำไปใช้เพื่อประนีประนอมระบบที่เหลือไม่ได้ป้องกันโปรแกรมจากตัวเอง ภายใต้ความสมบูรณ์ระดับกลาง Firefox สามารถเขียนไปที่ Temp และ AppData ได้แล้วดังนั้นการป้องกันสิทธิ์ในสถานที่อื่น ๆ ทั้งหมดจึงเป็นสิ่งสำคัญในการรักษาความปลอดภัย
ดังกล่าวหากคุณกังวลเกี่ยวกับความสมบูรณ์ของส่วนขยายของคุณซึ่งเป็นที่เข้าใจได้หากคุณพยายามปกป้องรหัสผ่านคุณเพียงแค่ปรับแต่งกฎระดับความสมบูรณ์ ระดับความสมบูรณ์ไม่ป้องกันการอ่านหรือดำเนินการด้านบนระดับความสมบูรณ์ของแอปพลิเคชัน ทำเครื่องหมายเฉพาะโฟลเดอร์ Temporary ที่อนุญาตและตำแหน่งไฟล์การกำหนดค่าใด ๆ ที่คุณต้องการให้ Firefox เขียนให้แน่ใจว่าได้ยกเว้นโฟลเดอร์ส่วนขยายที่พบใน AppData URL ที่ปรับปรุงจะไม่เก็บไว้ในการตั้งค่าผู้ใช้สามารถเข้าถึง: kb.mozillazine.org/...
ProcessMonitor สามารถเป็นประโยชน์สำหรับการพิจารณาการดำเนินการที่แอปพลิเคชันพยายามดำเนินการที่ถูกปฏิเสธเนื่องจากระดับความสมบูรณ์ เพียงตั้งค่าตัวกรองสำหรับ Application name = theappinquestion.exe และ Result = ACCESS DENIED และคุณสามารถปรับแต่งระดับความสมบูรณ์ของไฟล์หรือรีจิสตรีคีย์ที่ต้องการได้อย่างง่ายดาย ไฟล์ที่มี icacls, คีย์ reg ด้วย regil ( minasi.com/apps ) เมื่อใช้วิธีนี้ฉันสามารถกำหนดค่า SC2 เบต้าให้ทำงานในโหมดความสมบูรณ์ต่ำได้ภายใน 5 นาที
ฉันคิดว่าทุกคนพลาดความจริงที่ว่าฉันใช้งานซอฟต์แวร์อื่นในระดับความถูกต้องต่ำา โปรแกรมนอกเหนือจาก ie และ Chrome (หรือ FireFox) ตัวอย่างคือเครื่องเล่นสื่อ ฉันต้องการรหัสจากบัฟเฟอร์ล้นในตัวแปลงสัญญาณที่ไม่ได้รับอนุญาตให้เขียนอะไรยกเว้นสองสถานที่ได้รับอนุญาต และฉันแน่นอนไม่ต้องการรหัสที่จะสามารถที่จะเขียนถึงฉันDownloadsโฟลเดอร์ของฉันTempโฟลเดอร์หรือสามารถที่จะปรับเปลี่ยนการตั้งค่าที่เกี่ยวข้องกับ Firefox ฉันไม่ควรยกอุปสรรคด้านความปลอดภัยบนคอมพิวเตอร์ของฉันเพื่อให้โปรแกรมทำงานหนึ่งโปรแกรมโปรแกรมควรโค้งงอกับอุปสรรคด้านความปลอดภัย
เอียนบอยด์
-1

ไม่จำเป็นต้องใช้ SRP เนื่องจากกระบวนการที่ดำเนินการโดยกระบวนการระดับความสมบูรณ์ต่ำสืบทอดระดับความสมบูรณ์ต่ำด้วยตนเอง อย่างไรก็ตามมันเป็นอีกชั้นของการป้องกันและยังคงเป็นความคิดที่ดี!

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.