Исходное сообщение
"Представлен новый механизм защиты браузера Chrome в Linux" Отправлено opennews, 07-Сен-12 21:34
Разработчики web-браузера Chrome рассказали (http://blog.cr0.org/2012/09/introducing-chromes-next-generat...) о следующем поколении средств для обеспечения безопасности выполнения Chrome  на платформе Linux. Начиная с вышедшей на днях экспериментальной версии Chrome 23.0.1255.0 при работе в Linux применяется расширенный режим изоляции, реализованный в виде многоуровневой системы  sandbox-ов. Первый уровень защиты обеспечивает setuid-sandbox (http://code.google.com/p/setuid-sandbox/), блокирующий доступ к файловой системе, сети и  сторонним процессам (процесс помещается (http://code.google.com/p/chromium/wiki/LinuxSUIDSandbox)  через CLONE_NEWPID в отдельный PID namespace, выполняется chroot в пустую директорию и блокируется сеть через CLONE_NEWNET). Поверх setuid sandbox дополнительно реализован seccomp-bpf sandbox, который ограничивает доступ процесса только к системным вызовам, необходимым для выполнения штатных функций. Работа seccomp-bpf sandbox базируется на интегрированной в ядро Linux 3.5 (https://www.opennet.ru/opennews/art.shtml?num=34387) поддержке механизма  seccomp filter (http://outflux.net/teach-seccomp/), позволяющий определять в приложении правила доступа к системным вызовам, в том числе учитывая передаваемые и возвращаемые аргументы. Например, seccomp filter можно применить для ограничения допустимых файловых путей при обращении к системному вызову open (можно разрешить только обращение к директории с данными браузера). Проверить активность нового режима изоляции можно через URL "about:sandbox". Режим Seccomp-BPF будет работать в 64-разрядных сборках Chrome только при наличии ядра Linux 3.5 или при использовании дистрибутива Ubuntu 12.04, в котором seccomp filter реализован через патчи. URL: http://blog.cr0.org/2012/09/introducing-chromes-next-generat... Новость: https://www.opennet.ru/opennews/art.shtml?num=34778