Browser sichern mit Apparmor?

[debianoli]

Hallo,

ich möchte meine Internet-Browser gegen "böse" Webseiten absichern, d.h. bei Besuch einer infizierten Seite sollen meine Nutzerdaten unberührt bleiben. Der Browser soll also ins Gefängnis und keine im Browser gespeicherten Passwörter sollen abgegriffen werden können.

Ich habe das zZ mit dem Browser-Start als anderer User umgesetzt (per kdesudo), aber das ich nicht ganz das, was ich mir vorstelle.

Dann habe ich apparmor installiert, da dies nach meinem Verständnis genau dafür da ist. Allerdings ist die Einrichtung von Apparmor nicht so einfach, wie es zuerst aussieht. Und ich möchte gerne wissen, was ich da mache.

Aber vielleicht habt ihr Lösungen zur Browser-Sicherung. Das soll erreicht werden:

- Der Browser hat nur Zugriff auf genau festgelegte Verzeichnisse und kommt aus diesem Jail nicht raus (Appamor? SELinux?)
- Der Browser hat Zugriff auf den Sound und kann mit dem Flashplayer Filme abspielen (Appamor? SELinux?)
- Der Browser läuft unter einer anderen Nutzerkennung (geht bereits per sudo): Ist das beim Einsatz von zB Appamor noch nötig? Und es gibt dabei teilweise Sound-Probleme wegen des Zugriffs auf Devices durch 2 unterschiedliche User
- Passwörter für Webseiten können vom Browser gespeichert werden, aber nicht von Angreifern ausgelesen werden. Gespeichert werden sollen Forenkennwörter und evtl auch Anmeldungen für Shopping-Seiten wie zB Ebay oder Conrad, aber auf keinem Fall Anmeldung für Online_Banking oder ähnliches
- Für das Online-Banking muss der Browser ebenfalls ein Profil (?) haben. Für meine TAN habe ich einen optischen TAN-Generator

Grüße

[CH777]

- Der Browser hat Zugriff auf den Sound und kann mit dem Flashplayer Filme abspielen

Solange du Flash verwendest sind Sicherheitsmaßnahmen relativ sinnlos. Haupteinfallstor für Schädlinge ist und bleibt das Flashplugin.

[inne]

Mangelt es an der Kentniss zur Appamor-Syntax oder fehlt Starthilfe?

- Passwörter für Webseiten können vom Browser gespeichert werden, aber nicht von Angreifern ausgelesen werden.

Das wird so schwer möglich sein.

[debianoli]

Solange du Flash verwendest sind Sicherheitsmaßnahmen relativ sinnlos. Haupteinfallstor für Schädlinge ist und bleibt das Flashplugin.

Ich habe flash nicht standardmäßig an und schalte es nur für bestimmte Elemente einzeln frei. Man braucht Flash leider immer noch recht häufig

Kann man für Flash keine zB Apparmor-Regel erstellen? Wie löst du denn das Flash-Problem?

[debianoli]

Mangelt es an der Kentniss zur Appamor-Syntax oder fehlt Starthilfe?

An beidem. ich habe mal mit dem complain-Modus rumgespielt, aber da war dann irgendwie zuwenig im Config-File drin.

Bei den Passwörtern weiß ich auch nicht, wie ich das lösen soll. Das ist sehr praktisch. Zur Zeit habe ich zwei User angelegt: mit dem einen rufe ich nur Seiten auf, die wichtig sind. Dort sind Passwörter gespeichert. Der andere dient zum "freien" Surfen im Netz, auch mit gespeicherten PAsswörtern. Aber eben nicht wichtigen.

[inne]

Kann man für Flash keine zB Apparmor-Regel erstellen?

Ist Flash ein einzelner Prozess? Wenn ja könnte das gehen.Vielleicht mit einem Sub-Profile oder wie das genannt wird.
Für eine erste Recherche würde ich bei /usr/lib/iceweasel/plugin-container anfangen.

Wie löst du denn das Flash-Problem?

So:

Code: Alles auswählen

apt-get purge flashplugin-nonfree

Ansonsten starte ich Knoppix in der VM um "Flash-Filme" zu gucken! YT kommt ja schon wunderbar ohne aus, nur einige einschlägige Seiten halt nicht... wobei dort teilweise der Download und das Ansehen "offline" via Media-Player möglich ist, wenn kein Flash installiert ist.

[debianoli]

Code: Alles auswählen

apt-get purge flashplugin-nonfree

Die Lösung war mir neu...

Ansonsten starte ich Knoppix in der VM um "Flash-Filme" zu gucken!

Das wäre auch eine Möglichkeit, ist aber teilweise zeitaufwändig (außer man startet in Virtualbox einen Snapshot). Wenn ich Flash nicht hin und wieder beruflich brauchen würde, könnte ich ganz ohne auskommen. Ist aber leider nicht möglich.

Für eine erste Recherche würde ich bei /usr/lib/iceweasel/plugin-container anfangen.

Wie würdest du das bei Apparmor anfangen?

[CH777]

Wie löst du denn das Flash-Problem?

Seit ich mir die Browser-Games abgewöhnt habe benötige ich gar kein Flash mehr