LINUX.ORG.RU
ФорумSecurity

безопасное хранение cookies

 ,


0

2

Внезапно оказалось, что chromium хранит кукисы в открытом виде. Создал другого юзера, перекинул ~/.config/chrom* — и зашел ВК, ЛОР, и т.д. по кукисам.. То есть любой зло-процесс может кукисы утянуть. В связи с этим вопрос — как вы безопасно храните кукисы популярных браузеров?

Да, использовать монтируемый криптоконтейнер не выход, т.к. файлы будут видны процессам от вашего же юзера.

Даже gnome-keyring не выход — если сторадж unlocked, то сдампить данные можна молча.

Видимо, нужно selinux/apparmor с разрешением доступа к файлам кукисов только программе-браузеру.

★★★★★

Последнее исправление: Klymedy (всего исправлений: 1)
Spring framework: major flaw
Карточки для генерации паролей

Создал другого юзера, перекинул ~/.config/chrom*

ну так ты чтение всем своего домашнего каталога запрети

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

Ты не понял. Опасность исходит от процессов, запущенных от моего же юзера. Они могут свободно прочитать кукисы и залить их в инет. Например, я подхватил троянца через flash.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от Bers666

Или запустил skype.
Единственный выход - другой юзер, как минимум. Лучше, отдельная виртуалка.

getup
()
Ответ на: комментарий от Bers666

Например, я подхватил троянца через flash.

Не фантазируй, под линуксом на данный момент такого нет.
Либо отключи флеш и не переживай.
Либо используй flash blocker какой-нибудь.

tazhate ★★★★★
()

так не только в хроме, так в любом браузере. Куки хранятся не зашифровано, но подписанными, поэтому вытянуть из них инфу вряд ли получится. Если у тебя параноя, то отключи куки вообще. Или делай всегда log-out с сайта.

blan4
()

Видимо нужно. gnome-keyring'ом пользуюсь и плачу :( Причем разделение по программам тоже не выход. Так что только SELinux с контекстами, к сожалению.

vasily_pupkin ★★★★★
()
Ответ на: комментарий от vasily_pupkin

А откуда ты знаешь? :]

Хватает первоисточников.

tazhate ★★★★★
()
Ответ на: комментарий от vasily_pupkin

Согласен. Я написал какой-то бред. Видимо плохо подумал, прежде чем писать.

blan4
()

Видимо, нужно selinux/apparmor с разрешением доступа к файлам кукисов только программе-браузеру.

Да.

Но на домашнем компе selinux напрягает нервы сильно. К примеру, selinux либо работает глобально и для всех, либо не работает вообще. А частенько хочется, чтоб одни процессы работали в песочницах (т.е. enforcing policy), а другие - в режиме обучения MAC policy или ещё как-либо. Тут удобнее tomoyo 2.5+ — он намного более гибкий в этом плане.

AppArmor - поддерживается и работает более-менее только в сусе. Поэтому не нужен.

SELinux - лучше на серверах, где годами набор софта не меняется и всё в целом иначе. Хорош для своей области.

shahid ★★★★★
()

Только что возник аналогичный вопрос. Но как я понял, selinux и Apparmor не умеют «разрешать читать каталог только такой-то программе» и для этого нужно городить RSBAC. Или умеют?

kott ★★★★★
()
Ответ на: комментарий от shahid

AppArmor - поддерживается и работает более-менее только в сусе. Поэтому не нужен.

в убунте искаропки. Остановился пока на apparmor.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от kott

selinux и Apparmor не умеют «разрешать читать каталог только такой-то программе»

selinux умеет, apparmor не умеет.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от kott

пока ограничился запретом для скайпа. оказалось, он активно лазит по ~/.mozilla

Bers666 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Spring framework: major flaw
Security
Карточки для генерации паролей