Saya perhatikan bahwa Firefox, tidak seperti Chrome dan Internet Explorer, tidak berjalan di Level Wajib Rendah (alias Mode Terlindungi, Integritas Rendah)
Google Chrome:
Microsoft Internet Explorer:
Mozilla Firefox:
Mengikuti instruksi Microsoft , saya dapat secara manual memaksa Firefox ke Mode Integritas Rendah dengan menggunakan:
icacls firefox.exe /setintegritylevel Low
Namun Firefox tidak bereaksi dengan baik untuk tidak berjalan dengan hak yang cukup:
Saya suka keamanan mengetahui bahwa browser saya berjalan dengan hak yang kurang dari yang saya miliki. Apakah ada cara untuk menjalankan Firefox ke mode hak rendah? Apakah Mozilla berencana menambah "mode terlindungi" suatu saat? Adakah yang menemukan solusi untuk Firefox yang tidak menangani mode hak rendah?
Memperbarui
Dari wawancara Juli 2007 dengan Mike Schroepfer , Wakil Presiden bidang Teknik di Mozilla Foundation:
... kami juga percaya pada pertahanan secara mendalam dan sedang menyelidiki mode terlindungi bersama dengan banyak teknik lain untuk meningkatkan keamanan untuk rilis di masa mendatang.
Setelah tiga tahun, sepertinya itu bukan prioritas.
Memperbarui
- 9/28/2013
- 5 tahun kemudian
- Firefox 24.0
- masih tidak mendukung mode terproteksi
Jawaban:
Sayangnya saat ini tidak ada cara menjalankan Firefox dalam Mode Terlindungi.
Jika Anda tidak menjalankan Windows 64-bit, Anda bisa mendapatkan sesuatu yang mirip menggunakan Sandboxie .
sumber
Anda dapat menjalankan Firefox dalam mode integritas rendah menggunakan perintah berikut:
Perhatikan bahwa Anda harus menjalankan batch kedua untuk setiap pengguna di sistem Anda, menyesuaikan nama pengguna , jika tidak mereka akan mendapatkan kotak pesan "Firefox sudah berjalan".
Namun pengaturan ini tidak menyebabkan kebiasaan berikut:
sumber
Ian, Anda tidak mengerti cara kerja mode terlindungi. Solusi Simon Capewell adalah cara yang valid untuk meningkatkan keamanan Firefox. Anda contohnya, menyatakan bahwa solusinya entah bagaimana menonaktifkan perlindungan keseluruhan dari tingkat integritas yang rendah adalah sepenuhnya salah. Chrome dan IE menggunakan metode yang sama, karena unduhan ditulis ke folder unduhan bahkan di bawah mode terproteksi IE. Jika tidak, Anda tidak akan dapat mengunduh apa pun. Meskipun IE dapat menggunakan semacam pembungkus, sehingga mengisolasi proses utama dari yang memproses data yang tidak dipercaya untuk keamanan tambahan seperti yang dilakukan Chrome, ini diperdebatkan seperti pada metode yang dijelaskan di atas, semua komponen Firefox terisolasi dari gangguan sistem. Sedangkan, di Chrome, proses utama berjalan pada integritas sedang dan proses rendering pada integritas rendah.
Mengkonfigurasi Firefox dengan cara ini melindungi Windows dan Program Files dari modifikasi, sehingga mengisolasi Firefox dari sisa mesin Anda. Firefox dicegah dari menjatuhkan malware ke folder Startup Anda, misalnya, atau menambahkan entri registri yang secara otomatis memulai malware yang jatuh ke folder unduhan Anda (yang diizinkan untuk menulis oleh firefox) saat startup. Selain itu, menjalankan Firefox sebagai tingkat integritas rendah melindungi terhadap Firefox yang mencoba untuk mem-bypass ACL yang diberlakukan padanya dengan metode seperti membuat utas dalam proses jarak jauh untuk menjalankan kode dalam konteks keamanan proses itu. Firefox masih diizinkan untuk meletakkan file ke Folder Sementara, dan berpotensi dapat dieksekusi, seperti halnya Chrome dan IE. Dengan demikian, tingkat integritas harus dikombinasikan dengan SRP atau AppLocker, untuk mencegah eksekusi, semua executable dimasukkan ke direktori tempat Firefox diizinkan menulis. Persyaratan ini juga hadir dengan IE dan Chrome.
Setelah selesai, Firefox akan diperkeras terhadap unduhan drive-by dan dilindungi lebih dari IE, seperti Mode Terlindungi IE, ketika tidak dikombinasikan dengan SRP atau Applocker, memberikan perlindungan yang cukup. Sama sekali tidak memungkinkan Firefox untuk menulis ke direktori sendiri dan folder sementara yang berbeda dari apa yang Dilindungi oleh Mode Chrome dan Mode Dilindungi IE.
Satu-satunya perangkap dari solusi ini: Saya memiliki kebiasaan buruk meninggalkan file executable di dalam folder Downloads saya, yang kemudian saya jalankan. Dapat dieksekusi ini berpotensi dirusak jika Firefox dieksploitasi setelah mereka diunduh. Dengan demikian, setelah mengunduh file, pindahkan dari folder Unduhan. Ada juga risiko kerentanan yang sangat kecil di Firefox yang dieksploitasi untuk memodifikasi file sementara di folder sementara yang diizinkan yang kemudian mengeksploitasi kerentanan dalam proses tingkat integritas yang lebih tinggi ketika menggunakan file sementara itu. Namun, ini tidak akan pernah terjadi dan hanya kerentanan teoretis.
Bacaan lebih lanjut / Sumber:
Windows 7 SRP (berfungsi pada Home Premium, meskipun Anda tidak memiliki AppLocker):
Tingkat Integritas:
Mode Terproteksi IE:
Informasi Dasar tentang "Unduhan Berkendara":
Detail Chrome di Windows Sandboxing (lebih dari sekadar tingkat integritas):
sumber
Temp
, dan folder Mozilla AppData adalah tradeoff yang dapat diterima; karena kita semua tahu bahwa kita benar-benar ingin mencegah program mengakses Windows dan ProgramFiles. Masalahnya adalah: saya tidak tahu apa yang FF simpanAppData\Mozilla
, tetapi saya yakin tidak ingin malware meracuni URL pembaruan atau memodifikasi ekstensi saya. Itulah titik keamanannya.Downloads
folder sayaTemp
, folder saya , atau dapat memodifikasi pengaturan yang terkait dengan Firefox. saya seharusnya tidak mengangkat hambatan keamanan di komputer saya untuk membuat satu program berfungsi, program harus membungkuk ke hambatan keamanan.SRP tidak diperlukan, karena proses yang dijalankan oleh proses dengan tingkat integritas rendah mewarisi tingkat integritas yang rendah itu sendiri. Namun, itu adalah lapisan perlindungan lain, dan karenanya masih merupakan ide bagus!
sumber