Rawbit hat geschrieben: 08.07.2018 18:57:27
Ich beschäftige mich derzeit mit dem "Firejail" Ansatzt von Geier22.
Wusste gar nicht, das es sowas gibt....
Firejail ist interessant, aber man muss die Programmfunktionalität auch mit einem gewissen Augenmaß einschätzen.... Firejail bietet nicht den Schutz, den man vordergründig erwartet. Beispielsweise schränkt es die Grund-Funktionen des eingesperrten Programms nicht wirklich ein.... kann ja auch gar nicht, sonst würde das eingesperrte Programm ja gar nicht mehr richtig funktionieren. FJ verhindert auch nicht, dass FF Surface-Daten des Rechners sammelt, der Browser-Fingerprint wird nicht nachhaltig verschleiert, etliche Kern-Werte sind identisch.
Ein Vorteil von FF in FJ ist, dass man Zugriff auf lokale Speicher einschränken kann. Das heisst, AddOns oder erlaubte Scripte können nur sehr eingeschränkt die lokalen Massenspeicher lesen oder schreiben. Aber wenn man keine dubiosen AddOns installiert hat ... und wenn man dem FF nicht grundsätzlich misstraut... wo ist dann da der Sinn für FJ? Ganz nebenbei bemerkt, wenn man dem FF so gravierend misstraut, wieso nutzt man ihn dann überhaupt?
Die eigentliche Stärke von FJ ist es, einen isolierten Userspace zu schaffen, aus dem es der Anwendung nicht möglich ist, auf Systemressourcen zuzugreifen. Aber genau davon würde ich bei einem "sauberen" und aktuellen Firefox sowieso nicht ausgehen... also das er das mit schädlichen Absichten tut. Die Sandbox greift jedoch voll, wenn ein Programm tatsächlich echte und wirkich missbrauchbare Sicherheitslücken hätte, denn da würde das Ausnutzen dieser Lücken durch Malware auf den Jail-Bereich begrenzt sein. Aber auch davon kann man beim FF nicht als Regel ausgehen.
Ums auf den Punkt zu bringen... wenn Du den FF im Private-Mode startest und dazu einen scharf eingestellten Scriptblocker wie Ublock Origin installierst, sehe ich darin absolut keine großartige Verschlechterung der Sicherheit im Vergleich zum FF in FJ... oder andersrum, ich sehe mit FJ keine echte Verbesserung der Sicherheit.
Obwohl ich FJ jetzt so kritisch einschätze, ich nutze das Programm trotzdem mit FF. Und zwar für Ausnahme-Situationen beim freien Suchen/Recherchieren im Web. Das heisst, mein Standard-Browser-Profil ist mit dem Script-Blocker Ublock Origin so stark reguliert, dass gewisse Seiten schlichtweg nicht angezeigt werden können. Und wenn ich einzelne Seiten nicht regulär öffnen kann, bzw. diese Seiten nicht mal mit dem Lese-Button vom FF angezeigt werden, dann starte ich FF in FJ im Create-New-Mode (also immer jungfäulich), um diese Seite eben temporär zu erlauben/anzuzeigen. Für solche Seiten würde ich meinen Scriptblocker niemals "aufweichen", der bleibt in sehr überschaubaren Umfang unverändert scharf eingestellt - nach der Prämisse "
Es ist alles verboten, was nicht ausdrücklich erlaubt ist." Und mit Beendigung des FF in FJ und Schließen der betroffenen Seite ist dort wieder alles unwiderruflich weg. Und nebenher nutze ich noch eine dedizierte VM für -ich nenn es mal- unseriöses Surfen, die beim anklicken bis direkt zum Browser durchgestartet.
Meine Meinung nach ist FJ für eine gewisse Zielsetzung interessant ... FJ ist aber kein Allheilmittel und auch kein Rundum-Sorglos-Security-Paket.