Aktuelles Firefox manuell installieren in /home/user

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
DeletedUserReAsG

Re: Aktuelles Firefox manuell installieren in /home/user

Beitrag von DeletedUserReAsG » 08.07.2018 08:08:26

geier22 hat geschrieben: ↑ zum Beitrag ↑
08.07.2018 00:36:02
Das Beharren, das nur Root in /opt/ schreiben darf, finde ich - da man ja Mozilla misstraut - dann sogar noch gefährlicher,
da Root ja genau dann auch wo anders hinkrizeln und lesen darf, während der User das nicht kann.
Allerdings wird’s nie als Root ausgeführt, so dass alleine von den Berechtigungen keine Gefahr ausgeht. Dafür kann Schadsoftware, als User ausgeführt, nicht am Browser manipulieren. Auf der anderen Seite funktioniert’s Auto-Update nicht und man muss sich selbst drum kümmern. Wer’s umständlich haben möchte, setzt als Eigentümer den User, und gleichzeitig das „immutable“-Flag für alle Files des Browsers. Dann gehört’s zwar dem User, ändern darf er aber nichts und um die Updates muss man sich trotzdem selbst kümmern. Wem das noch nicht reicht, der kann ja auch noch mit MAC à la SELinux hantieren ….

Ich denke, hier ist’s, wie bei den meisten Sachen: den richtigen Weg gibt es nicht. Muss jeder anhand seiner eigenen Prioritäten entscheiden, wie er das handhabt.

geier22

Re: Aktuelles Firefox manuell installieren in /home/user

Beitrag von geier22 » 08.07.2018 10:23:39

niemand hat geschrieben: ↑ zum Beitrag ↑
08.07.2018 08:08:26
Ich denke, hier ist’s, wie bei den meisten Sachen: den richtigen Weg gibt es nicht. Muss jeder anhand seiner eigenen Prioritäten entscheiden, wie er das handhabt.
Dem stimme ich zu.
Es sei dann aber noch erwähnt, dass die Ausrede "ich installiere ein ausführbares Programm in meinem /home/" oder im /home/ eines anderen "unprivilegierten" Benutzers dann genauso falsch oder richtig ist. Denn egal, in welchem Verzeichnis das Programm "residiert" solange sämtliche Dateien nicht Root gehören, ist die Gefahr der Manipulation des Programmcodes immer
gegeben. Der Eigentümer darf in jedem Fall jede Datei schreiben.

Selbst die Anleitung der Debian - Wiki wäre dann zu bemängeln:
Uncompress the archives in the */opt* folder if you want to install it system-wide (you will need to have root privilege) or in your home folder if you only want to install it for your current user.

TomL

Re: Aktuelles Firefox manuell installieren in /home/user

Beitrag von TomL » 08.07.2018 17:09:08

geier22 hat geschrieben: ↑ zum Beitrag ↑
08.07.2018 10:23:39
....dann genauso falsch oder richtig ist.
:::
Selbst die Anleitung der Debian - Wiki wäre dann zu bemängeln
Meiner Meinung nach gibt es da kein falsch oder richtig und auch am Wiki-Text ist imho nichts zu bemängeln. Falsch wäre es dann, wenn aus technischen Gründen einer der Wege nicht funktionieren würde....aber das ist ja nicht gegeben....technisch funktioniert gleichermaßen eine Installation in /opt und /home. Also kann da imho auch nichts falsch sein.

Ein Unterschied besteht meiner Meinung nach nur durch mögliche kollaterale Effekte - eben der unautorisierten Manipulation des ausführbaren Programms..... "mögliche" bedeutet aber nicht "unweigerlich" ... also kann sein, muss aber nicht. Aber wenn das Programm in /opt mit Userrechten versehen ist und zusätzlich das Programm auch noch von anderen Usern (beim gemeinsam genutzten PC) verwendet wird, würde sich eine solche Manipulation vielleicht auch auf die anderen User auswirken. Wenn man das weiss und sich der Risiken bewusst ist, kann man sich ja einfach entscheiden, das entweder zu beachten oder es zu ignorieren.

Benutzeravatar
Rawbit
Beiträge: 716
Registriert: 24.12.2004 13:17:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Aktuelles Firefox manuell installieren in /home/user

Beitrag von Rawbit » 08.07.2018 18:57:27

Hallo,

vielen Dank für Eure Beiträge!
TomL hat geschrieben: ↑ zum Beitrag ↑
08.07.2018 17:09:08
Aber wenn das Programm in /opt mit Userrechten versehen ist und zusätzlich das Programm auch noch von anderen Usern (beim gemeinsam genutzten PC) verwendet wird, würde sich eine solche Manipulation vielleicht auch auf die anderen User auswirken.
Das trifft für mich den Nagel auf den Kopf. Ich wollte - nur um automatisch updaten zu können - nicht die Rechte in /opt umbiegen.

Ich beschäftige mich derzeit mit dem "Firejail" Ansatzt von Geier22.
Wusste gar nicht, das es sowas gibt....

Gruß


Rawbit

TomL

Re: Aktuelles Firefox manuell installieren in /home/user

Beitrag von TomL » 08.07.2018 20:47:33

Rawbit hat geschrieben: ↑ zum Beitrag ↑
08.07.2018 18:57:27
Ich beschäftige mich derzeit mit dem "Firejail" Ansatzt von Geier22.
Wusste gar nicht, das es sowas gibt....
Firejail ist interessant, aber man muss die Programmfunktionalität auch mit einem gewissen Augenmaß einschätzen.... Firejail bietet nicht den Schutz, den man vordergründig erwartet. Beispielsweise schränkt es die Grund-Funktionen des eingesperrten Programms nicht wirklich ein.... kann ja auch gar nicht, sonst würde das eingesperrte Programm ja gar nicht mehr richtig funktionieren. FJ verhindert auch nicht, dass FF Surface-Daten des Rechners sammelt, der Browser-Fingerprint wird nicht nachhaltig verschleiert, etliche Kern-Werte sind identisch.

Ein Vorteil von FF in FJ ist, dass man Zugriff auf lokale Speicher einschränken kann. Das heisst, AddOns oder erlaubte Scripte können nur sehr eingeschränkt die lokalen Massenspeicher lesen oder schreiben. Aber wenn man keine dubiosen AddOns installiert hat ... und wenn man dem FF nicht grundsätzlich misstraut... wo ist dann da der Sinn für FJ? Ganz nebenbei bemerkt, wenn man dem FF so gravierend misstraut, wieso nutzt man ihn dann überhaupt?

Die eigentliche Stärke von FJ ist es, einen isolierten Userspace zu schaffen, aus dem es der Anwendung nicht möglich ist, auf Systemressourcen zuzugreifen. Aber genau davon würde ich bei einem "sauberen" und aktuellen Firefox sowieso nicht ausgehen... also das er das mit schädlichen Absichten tut. Die Sandbox greift jedoch voll, wenn ein Programm tatsächlich echte und wirkich missbrauchbare Sicherheitslücken hätte, denn da würde das Ausnutzen dieser Lücken durch Malware auf den Jail-Bereich begrenzt sein. Aber auch davon kann man beim FF nicht als Regel ausgehen.

Ums auf den Punkt zu bringen... wenn Du den FF im Private-Mode startest und dazu einen scharf eingestellten Scriptblocker wie Ublock Origin installierst, sehe ich darin absolut keine großartige Verschlechterung der Sicherheit im Vergleich zum FF in FJ... oder andersrum, ich sehe mit FJ keine echte Verbesserung der Sicherheit.

Obwohl ich FJ jetzt so kritisch einschätze, ich nutze das Programm trotzdem mit FF. Und zwar für Ausnahme-Situationen beim freien Suchen/Recherchieren im Web. Das heisst, mein Standard-Browser-Profil ist mit dem Script-Blocker Ublock Origin so stark reguliert, dass gewisse Seiten schlichtweg nicht angezeigt werden können. Und wenn ich einzelne Seiten nicht regulär öffnen kann, bzw. diese Seiten nicht mal mit dem Lese-Button vom FF angezeigt werden, dann starte ich FF in FJ im Create-New-Mode (also immer jungfäulich), um diese Seite eben temporär zu erlauben/anzuzeigen. Für solche Seiten würde ich meinen Scriptblocker niemals "aufweichen", der bleibt in sehr überschaubaren Umfang unverändert scharf eingestellt - nach der Prämisse "Es ist alles verboten, was nicht ausdrücklich erlaubt ist." Und mit Beendigung des FF in FJ und Schließen der betroffenen Seite ist dort wieder alles unwiderruflich weg. Und nebenher nutze ich noch eine dedizierte VM für -ich nenn es mal- unseriöses Surfen, die beim anklicken bis direkt zum Browser durchgestartet.

Meine Meinung nach ist FJ für eine gewisse Zielsetzung interessant ... FJ ist aber kein Allheilmittel und auch kein Rundum-Sorglos-Security-Paket.

Antworten