Браузер Atom через Firejail + Wine для сбера?

Нативный яндекс для linux не проще?

Я не пользусь продуктами яндекса.

Firejail тут можно использовать чисто для изоляции приложения в отдельном каталоге что-бы не мусорило или для удобного переноса на другую систему. Кроме как на трафик программы конкретной сертификат не будет ни на что влиять. Зачем wine я так и не понял, но раз хочется то можно. Делай приватный каталог, инициализируй в нём wine утанови туда атом и запускай. Всё.

Если да, то какие лучше использовать конфигурации для Firejail?

Глянь профили /etc/firejail/atom.profile и /etc/firejail/wine.profile собери свой профиль или просто ничего не предпринимай будет использован профиль для wine. Просто изоляции в каталоге наверное будет достаточно и то чисто для удобства.

Жрать кактус ради понтов? Молодец, путь истинного линуксоида.

//просто поставь в песочницу Яндекс-браузер, если уж хочется странного.

Нет нативной версии Atom’a, поэтому через Wine. Спасибо.

Чем-то мейл.рушный Атом человечнее продукта Яндекса? ))

Atom типа лучше?

Просто запусти яндексовский нативный в firejail. firejail --private="$HOME/firejails/SberShit" yandex-browser да не парь мозги. Atom ничем не лучше, да ещё и ненужные прокладки в виде Wine, который постоянно префикс будет хотеть обновить (с новыи версиями) тянет.

P.S. Можно и firefox запускать в песочнице, и только там в него установить сертификаты. И без всякого атома или яндекса. firejail --private="$HOME/firejails/SberShit" firefox --no-remote. Там ставь в него серт и радуйся. На основной firefox это никак не повлияет. Два отдельных процесса с разными профилями и т.д.

Я бы такую шнягу только в вирталке с виндой запускал, иначе бы на измене был. Это как тестирование вредоносного ПО на личном ПК.

Да ладно, сэндбокса достаточно.

А типа там «Accept the risk and continue» в браузере, чтобы одобрить использование конкретного self-signed или невалидного сертификата для конкретного домена уже не модно, что-ли? Никаких CA минцифр вообще никуда не надо устанавливать.

А браузер по-любому и так должен под firejail запускаться. Ну может кроме NetSurf и links/lynx

Очень странная позиция - яндексом не пользоваться, зато мейлру пользоваться. Вот уж от второго точно надо подальше держаться, а у яндекс-браузера плохо только то, что он на базе гуглософта сделан.

Файрфоксу можно безо всяких контейнеров просто создать доп профиль.

firefox -P

Знаю, но с песочницей снаружи как-то спокойнее на душе в данном случае.

Как думаете, стоит ли идти таким путём?

Да поставь уже отдельную машину. Или виртуалку. Хотя один фиг все это бесполезно

Просто сделай отдельный профиль firefox и поставь в него эти сертификаты. У каждого профиля отдельное хранилище сертификатов.

Новая для меня информация) Спасибо!

Каком «данном»?

В случае с браузерами и их профилями. Они так разжирели, что в их коде чёрт ногу сломит, провести аудит в одиночку физически нереально — где там у них какие уязвимости есть или появятся с багами в новых версиях, и если ставить всякие левые сертификаты пускай даже в отдельный профиль внутри одного браузера, как тебя поимеют, никто не знает. А песочница — лишний уровень защиты, так сказать: точно знаешь, что эта зараза никак не может повлиять на основной браузер. Я в принципе не пользуюсь встроенной фичей отдельных профилей в браузере, для каждого своя песочница. И вам советую. Благо с firejail это не требует никаких дополнительных усилий или заморочек.

Какая-то странная логика. То, что изоляция имеет смысл - это да. Но сертификаты тут ну совершенно ни при чём. Установка сертификата на эксплоиты к браузеру не влияет вообще никак.

зараза

Основной её источник - переходы по рандомным сайтам из поисковой системы, либо взлом доверенных сайтов. Сертификаты ни на первое, ни на второе не влияют ровно никак.

Установка сертификата на эксплоиты к браузеру не влияет вообще никак.

Зато эксплоит теоретически может повлиять на возможность «пробросить» сертификат из одного профиля в другой.

Сертификаты ни на первое, ни на второе не влияют ровно никак.

Они в теории позволяют MitM-атаку.

Зато эксплоит теоретически может повлиять на возможность «пробросить» сертификат из одного профиля в другой.

Извини конечно, но это безграмотная ерунда. Чтобы что-то сделать с другим профилем, нужно иметь эксплоит на общий доступ (причём включая запись) к файловой системе. И сертификаты тут никак не повлияют, опять. То есть если у тебя есть этот доступ ты уже делаешь что угодно безо всяких рамок. Песочница от этого поможет, да.

Они в теории позволяют MitM-атаку.

Только песочница никак от mitm-атак не защищает. Это совершенно разные вещи.

Извини конечно, но это безграмотная ерунда. Чтобы что-то сделать с другим профилем, нужно иметь эксплоит на общий доступ (причём включая запись) к файловой системе. И сертификаты тут никак не повлияют, опять. То есть если у тебя есть этот доступ ты уже делаешь что угодно безо всяких рамок. Песочница от этого поможет, да.

Не обязательно общий доступ, может в теории быть какой-то баг, который будет позволять подменять профиль. Я не говорю, что это можно будет сделать на JS с сайта, но например через какое-нибудь расширение, которое ты устанавливаешь — вполне допускаю. Да, я согласен, что сценарий маловероятный, но всё же с песочницей оно как-то спокойнее: пускай все эти левые сертификаты и сберы будут отдельно, а основной браузер отдельно, без возможности доступа одного к другому даже если через эксплоит как-то удастся завладеть прямо таки всем браузером (да-да, понимаю, что это маловероятно).

Только песочница никак от mitm-атак не защищает. Это совершенно разные вещи.

Она защищает от просовывания этого сертификата в основной профиль.

Не обязательно общий доступ, может в теории быть какой-то баг, который будет позволять подменять профиль.

Профиль - это директория с конфигами. Он выбирается при запуске процесса, и никакие последующие обращения к альтернативным путям нигде не предусмотрены.

Она защищает от просовывания этого сертификата в основной профиль.

Нет никакого просовывания. Это слишком сложная конструкция. Шансы найти RCE на порядки выше. Так что если ты боишься подобных сценариев - надо изначально делать несколько песочниц, изолируя важные сайты от рандомных (и, скорее всего, разные важные сайты друг от друга). Если ты этого не сделал - то всё остальное выглядит как установка бронированной двери на разваливайщийся сарай - нелепо и бесполезно.

Профиль - это директория с конфигами. Он выбирается при запуске процесса, и никакие последующие обращения к альтернативным путям нигде не предусмотрены.

Не предусмотрены. По идее. Но, как я выше говорил, в коде фаерфокса чёрт ногу сломит — хрен его знает, что и почему может пойти не так.

Нет никакого просовывания. Это слишком сложная конструкция. Шансы найти RCE на порядки выше. Так что если ты боишься подобных сценариев - надо изначально делать несколько песочниц, изолируя важные сайты от рандомных (и, скорее всего, разные важные сайты друг от друга). Если ты этого не сделал - то всё остальное выглядит как установка бронированной двери на разваливайщийся сарай - нелепо и бесполезно.

Именно это я и делаю. Есть четыре песочницы с браузером для разных нужд (включая одну «основную»/«дефолтную»), плюс --private с временным хомяком в tmpfs, который не сохраняется (при каждом запуске чистый профиль). Как правило одновременно запущены две копии браузера («основной» и для одного из «важных» юзкейсов). Ещё две постоянно хранящихся и одна совсем временная запускаются в случае надобности. Но это уже зависит от собственных нужд и юзкейсов и явно выходит за рамки данного топика.

Именно это я и делаю

Ну всё норм. Но зачем тогда делать какие-то ненужные уточнения про сертификаты?

Ну мы в топике про сертификаты. Напомню, началось всё с того, что я просто сказал «с песочницей снаружи как-то спокойнее». Поскольку использовать песочницу для каждого профиля не затратнее и не сложнее, чем просто запускать браузер с разными профилями, не вижу смысла этой возможностью не пользоваться, тем паче, что ТС уже упомянул firejail и, видимо, пользуется им.

М… разжирели на одну строчку где путь к профилю засунули в переменную?

Нет, в целом. Ты объём кода того же FF видел? Вот. Где и когда там обнаружится очередная уязвимость, никто не знает.

Да объем кода любого оставшегося браузера сумасшедший. Но я не думаю что там какие-то сложности с выбором профиля.

Откуда ты знаешь, вдруг вредитель из яндекса на лоре сидит, на брудершафт с товарищем майором в носу ковыряют. Из песочницы сбежать проще чем из виртуалки

Так я не говорю про сложности с выбором профиля. Я говорю о потенциальных уязвимостях, в виду которых лучше профиль со всяким стрёмным держать в песочнице.

Да, настроил фаерфокс через firejail с сертификатами. Вроде всё работает. Думаю, этот вариант - то что мне нужно.

Я не считаю атом лучше яндекс-браузера и рад, что его ставить не пришлось. Просто яндекс за долгие годы слишком сильно выработал во мне устойчивый негатив к себе своей «агрессивной политикой».

Судя по обсуждению в теме, особого смысла в песочнице нет, однако, мне будет так спокойней. Всем спасибо.