В Firefox для OpenBSD реализована поддержка изоляции файловой системы при помощи системного вызова unveil(). Необходимые патчи уже приняты в апстрим firefox и войдут в состав Firefox 72.
Firefox в OpenBSD был и ранее защищён, используя pledge для ограничения доступа каждого типа процессов (main, content и GPU) к системным вызовам, теперь для них также будет ограничен доступ к файловой системе при помощи unveil(). По умолчанию, доступ ограничен директориями ~/Downloads и /tmp; и при загрузке файлов из сети, и при просмотре файлов с диска. Настройки pledge() и unveil() хранятся в файлах в /usr/local/lib/firefox/browser/defaults/preferences/, содержимое которых может переопределяться в файлах из /etc/firefox/. Преимущество второго варианта в том, что только root может редактировать эти файлы.
Ранее аналогичные возможности были добавлены в браузеры Chromium и Iridium.
Источник: https://www.opennet.ru/opennews/art.shtml?num=51890
(opennet.ru, мини-новости)
[ON] В Firefox для OpenBSD реализована поддержка unveil
Модератор: Модераторы разделов