image

Firefox krijgt eindelijk sandbox om gebruikers te beschermen

donderdag 22 december 2016, 11:13 door Redactie, 8 reacties

Eén van de grootste minpunten van Firefox op beveiligingsgebied is het ontbreken van een sandbox om gebruikers tegen aanvallen te beschermen, maar Mozilla zal deze belangrijke beveiligingsmaatregel aan komende versies gaan toevoegen, zo heeft de opensource-ontwikkelaar bekendgemaakt.

Van alle grote browsers is Firefox nog altijd de enige zonder sandbox. Een sandbox wordt als een zeer belangrijke beveiligingsmaatregel gezien, omdat het kan voorkomen dat via één enkele kwetsbaarheid er meteen toegang tot het systeem kan worden verkregen. In augustus van dit jaar lanceerde Mozilla de eerste Firefox-versie met "meerdere processen". Deze 'multi-proces Firefox' scheidt de webcontent van de processen van de gebruikersinterface. Dit houdt in dat een webpagina die veel rekenkracht in beslag neemt de knoppen en het menu van Firefox niet meer kan laten vastlopen, maar moet ook de stabiliteit en veiligheid vergroten.

Volgens Mozilla heeft de functie, die tevens de basis voor een sandbox vormt, voor een 700 procent verbetering gezorgd bij het laden van websites en voor een 400 procent toename van de responsiviteit. Met Firefox 49 is de functie onder gebruikers met een selecte groep extensies uitgerold. In Firefox 51 zal de functie ook worden ingeschakeld voor nog niet geteste extensies. Naast het inschakelen van multi-process voor meer gebruikers werkt Mozilla ook aan verschillende functies voor op de lange termijn.

Zo moet multi-proces eindelijk voor een sanbox in Firefox gaan zorgen. "Het sandboxwerk begint in Firefox 50 met de introductie van onze eerste Windows-sandbox. Dit is een vroege sandbox die het grondwerk legt en nog niet extra is beveiligd", zegt Asa Dotzler van Mozilla. Of Dotzler Firefox 50 bedoelt is onduidelijk. Deze versie is al sinds halverwege vorige maand beschikbaar en nergens heeft Mozilla destijds melding gemaakt van een sandbox. Wel maakt Dotzler duidelijk dat de sandbox de komende Firefox-versies aan de Linux- en Mac-versie zal worden toegevoegd en extra zal worden aangescherpt.

Reacties (8)
22-12-2016, 13:21 door Anoniem
Sinds Ubuntu versie 8.04 (anno 2008) is de Linux kernel van die distributie standaard uitgerust met de AppArmor module, wat in wezen een sandbox is. Deze module valt overigens ook goed onder de Debian editie van Linux Mint te installeren.

Het raamwerk van AppArmor past een zogeheten "name-based mandatory access control" vanaf het niveau van de Linux kernel toe. Dat maakt het voor gecompromitteerde programma's bijzonder moeilijk om buiten de pot te pissen.

Het is wel zaak om het meest actuele Firefox AppArmor profiel toe te passen en die ook daadwerkelijk te activeren. Het benodigde Firefox AppArmor profiel wordt onder Ubuntu wel standaard meegeinstalleerd en door Canonical bijgehouden.

Maar het Firefox AppArmor profiel staat / stond onder een standaard Ubuntu installatie als zijnde 'optioneel' niet actief aan.

Dat werd gedaan omdat het AppArmor profiel voor Firefox ook bij sommige betrouwbare websites voor problemen kan / kon zorgen. Daarom moet men het bewuste profiel eigenhandig aanzetten, om te voorkomen dat je jezelf buiten sluit.

Ubuntu AppArmor
https://help.ubuntu.com/community/AppArmor

Met het volgende bash terminal commando valt te controleren of de AppArmor daadwerkelijk is geinstalleerd en of het benodigde Firefox profile wel of niet is geactiveerd:

sudo apparmor_status

Zoals men kan vaststellen, staan onder een standaard installatie van Ubuntu 16.04 (heden) reeds een hele reeks van AppArmor profiles geactiveerd.

Onder Ubuntu kan echter het volgende aa-enforce commando, of een variant daarop, nodig zijn om het firefox-bin AppArmor profiel te activeren:

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

Met het bovengenoemd status commando kan men vervolgens controleren of het profiel ook daadwerkelijk in de enforce modus is geladen. Als er problemen met AppArmor zijn, dan worden die gelogd in /var/log/kernel.log

grep -e "apparmor" /var/log/kern.log

tail -f /var/log/kernel.log

En nu maar hopen dat de nieuwe sandbox die Mozilla.org voor Firefox maakt minder omslachtig is dan AppArmor en dat die twee elkaar niet bijten. We zullen zien.
22-12-2016, 15:21 door [Account Verwijderd]
[Verwijderd]
22-12-2016, 16:46 door Anoniem
Door Poco:Niet alleen Ubuntu maar ook openSUSE Tumbleweed heeft het standaard.

Dank je, Poco.

https://en.opensuse.org/SDB:AppArmor

In eerdere postings op Security.nl is ook al eens Firejail als mogelijke sandbox optie genoemd.

Iedereen op Security.nl voor de Kerst veel speelplezier toegewenst in de zandbak.
22-12-2016, 17:21 door karma4
Apparmor leuk dat je het een fraai tooltjes vindt.
Het echte issue namelijk gebrek aan secùrity awareness door dd os fanaat los je daarmee niet op. Ook in een app domein kun je nog vele aparte functies met veschillende typen beheerders hebben. Dan moet je open staan voor high privileged accounts met aparte maatregelen.
22-12-2016, 21:49 door [Account Verwijderd]
[Verwijderd]
23-12-2016, 14:32 door karma4 - Bijgewerkt: 23-12-2016, 14:34
Door Ezeltjeprik:Onzin, ga niet lopen grossieren in onware clichés.
Je hebt wat tegen linux en moet er daarom hier weer overheen.
...
Het is strontvervelend!
Wat echt strontvervelend is constant die reacties van Linux dit en Linux dat op topics die het nauwelijks raken.
In de praktijk juist vanuit die hoek de ervaring dat er tegengewerkt wordt om een behoorlijke security inrichting voor elkaar te krijgen. Leg het zelf maar eens uit waarom.
De reactie dat ik tegen Linux ben is zo fout wat als wat, probeer er juist van wat te maken. Ik ben tegen de Linux-haters uh data governance haters die onder het mom van een merkje brengen dat er niets aan het handje is.

Misschien kan je de shell-shock nog herinneren. Triest als je naar de root-cause kijkt en dan ziet dat er maar wat snel pleisterwerk gedaan is.
23-12-2016, 23:36 door Anoniem
Hoi karma4,

Paul Allen beheert een aantal publiekelijk beschikbare historische computer systemen, waaronder een originele VAX 11/785 waarop OpenVMS 7.3 draait. Zo´n omgeving, dat lijkt mij nu echt iets voor jou! :-)

Verzoek om een login van het Living Computers Museum (http://www.livingcomputers.org/) en probeer eens een echt OpenVMS systeem op de oorspronkelijke hardware uit.
24-12-2016, 12:18 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.