Jak zapobiegać dotykaniu moich ciasteczek przez brudne ręce?

8

Zgodnie z moim drugim pytaniem wydaje się, że moje pliki cookie nie są chronione. (Powinienem był wiedzieć, że był czas, kiedy po prostu ręcznie usunąłem pliki cookie z tymczasowych plików internetowych).

Aby moje pytanie było nieco bardziej ogólne:

Jak uniemożliwić programowi na moim komputerze dostęp do niektórych zasobów na moim komputerze?

Albo na odwrót:

Jak otworzyć dostęp do niektórych zasobów tylko dla wybranych programów?

Lub pozornie niepraktyczna prośba:

Jak zmusić programy do proszenia o zgodę, kiedy chcą uzyskać dostęp do niektórych zasobów?

Chociaż system Windows 7 sprawia, że ​​regułą jest żądanie uprawnień administratora podczas wprowadzania zmian w plikach systemowych. Jednak dostęp do (to znaczy, po prostu wyświetl) zasobów jest otwarty dla wszystkich programów.

Maszyny wirtualne wydają się być wyborem, ale programy izolowane przez maszynę wirtualną nie mają szansy zobaczyć żadnego z zasobów systemu zewnętrznego (hosta), co nie wydaje się być preferowane.

Korzystam teraz z systemu Windows 7, ale rozwiązania w każdym systemie operacyjnym są mile widziane.

windows-7  privileges 
Społeczność
źródło

Odpowiedzi:

7

Cóż, pozwól mi najpierw odpowiedzieć na jedną część twojego szerszego pytania: jak to zrobić . Moje bezpośrednie doświadczenie dotyczy Linuksa, ale powiedziałeś, że odpowiedzi na dowolnej platformie są mile widziane, więc proszę bardzo. Jeśli korzystasz z systemu Linux, prawdopodobnie będziesz potrzebować dostępu do konta root, aby uzyskać dostęp do plików cookie w jakikolwiek inny sposób niż (w zasadzie) ich usunięcie. Ogólna procedura wygląda następująco:

  1. Zmień uprawnienia do pliku, aby inni użytkownicy nie mogli go odczytać. chmod 600 <file>powinien działać jako odpowiedni tryb do tego.
  2. Sprawdź, czy Twoja przeglądarka nie blokuje przypadkowo tych uprawnień.
  3. Utwórz nowe konto użytkownika w przeglądarce. Nazwijmy to foxyze względu na argument.
  4. Zmień własność pliku cookie przeglądarki na foxy, a także cokolwiek innego, do czego przeglądarka może potrzebować napisać. (Zasadniczo może to mieć wpływ na wszystko w katalogu użytkowników przeglądarki.)
  5. Sprawdź, aby upewnić się, że przeglądarka nadal wie, gdzie są przechowywane pliki cookie, gdy jest uruchamiana jako foxy. Jeśli to konieczne, podaj foxykatalog domowy wyłącznie dla takich rzeczy.
  6. Użyj, visudoaby dać sobie pozwolenie, ale tylko podczas uruchamiania przeglądarki, aby zmienić użytkowników na foxyLinia w pliku sudoers wyglądałaby podobnie <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Zagwarantuje to, że masz uprawnienia do uruchamiania tego konkretnego programu jako użytkownik foxy.
  7. Napisz skrypt powłoki, który uruchamia przeglądarkę z podaną nazwą użytkownika, aby można było ponownie zainstalować pliki .desktop łączy, których używasz do otwierania przeglądarki. Powiedzmy, że stawiasz to na /usr/local/bin/browse; może po prostu zawierać (po linii hash-bang) sudo -u foxy /usr/bin/firefoxlub mniej więcej.

Część, którą Linux robi naprawdę dobrze, to tego rodzaju dodatkowe opcje. Nie wiem dużo o Windows 7, ale byłbym nieco zaskoczony, gdyby mógł zrobić to samo - gdyby miał system zastępczego użytkownika, który mógłby ograniczyć użytkownika, który zastępujesz, na podstawie nazwy pliku wykonywalnego. (Zauważ, że jeśli dam sobie dowolną zgodę na zamianę jako foxy, nie powstrzyma to dedykowanego napastnika; po prostu zastąpią dowolne polecenie odczytania plików cookie jako foxy.

Teraz wyjaśnię, dlaczego być może jest to niewłaściwe pytanie. Gmail ma fajne opcje, które zmuszają Cię do wysyłania plików cookie tylko przez TLS / SSL (zabezpieczone połączenia przeglądania). Większość usług opartych na logowaniu nie . Oznacza to, że Twoje pliki cookie są w zasadzie widoczne dla całej infrastruktury internetowej. Zaskakujące jest to, że ta infrastruktura okazała się dość pasywna i generalnie nie będzie cię atakować, chyba że by cię cenzurować, chociaż istnieją takie części Internetu jak Tor, w których ta zasada całkowicie się łamie.

Jednak nadal występuje problem, gdy, powiedzmy, używasz połączenia WiFi innej osoby. Mogą „usłyszeć” wszystko, co wysyłasz, a nie TLS, i nie możesz ich zatrzymać bez, powiedzmy, bezpiecznego schematu proxy, aby się przedostać. (Jak Tor! ... ups.) Nie mówię tylko o bezpieczeństwie bezprzewodowym (chociaż jeśli nie używają odpowiedniego szyfrowania, twoje pliki cookie mogą być zagrożone przez każdego, kto ma laptopa w tym samym pokoju) jak ty). To sam zakład. Być może twój recepcjonista jest bystry technologicznie i chce podsłuchiwać ruch internetowy w hotelu, w którym pracuje; jak go zatrzymać?

Możesz to również rozwiązać w Linuksie, ale wymaga to od kogoś trochę pieniędzy, aby kupić tak zwany serwer tunelowy SSH . Jest to zdalny serwer proxy, który kontrolujesz, który ma (miejmy nadzieję) bezpieczniejsze połączenie internetowe niż codzienne podróże bezprzewodowe; łączysz się z nim za pomocą szyfrowanego połączenia. Nadal zależy od bezpieczeństwa Internetu, ale twoje najbliższe otoczenie może być niepewne. Ustawiając ~/.ssh/authorized_keysplik na tym serwerze, możesz uruchomić tunel bez podawania hasła, chociaż możesz chcieć (lub trzeba) skonfigurować skrypt powłoki, aby domyślnie dodawał go do Firefoksa, tak jak poprzednio.

CR Drost
źródło
W systemie Windows „runy” mogą być częścią rozwiązania dla alternatywnego uruchamiania użytkownika, a także prawidłowego korzystania z NTFS ACL
Journeyman Geek
1

Jednym ze sposobów na osiągnięcie tego ...

  1. Utwórz nowe konto użytkownika i ustaw hasło
  2. Zaloguj się do tego konta i zainstaluj Chrome lub uruchom Firefox, aby utworzyć folder% Appdata%
  3. Zaszyfruj ten folder% AppData% za pomocą EFS (prawy przycisk myszy -> Właściwości -> Zaawansowane -> Szyfruj ...)
  4. Przełącz na swoje konto główne Przytrzymaj Shift i kliknij prawym przyciskiem myszy skrót przeglądarki i wybierz „Uruchom jako inny użytkownik”
  5. Wprowadź nowe dane logowania do konta i kliknij OK

Teraz używasz przeglądarki jako inny użytkownik, a pliki są szyfrowane, więc tylko użytkownik / aplikacja może je odczytać.

W przypadku przeglądarki Chrome musisz edytować skrót, aby otworzyć przeglądarkę Chrome zainstalowaną na koncie przeglądarki.

Będziesz także musiał zmienić katalog pobierania na głównych użytkowników i zezwolić użytkownikowi przeglądarki na ten katalog, lub możesz ustawić go na folder publiczny i dodać ten folder publiczny jako bibliotekę.

Edycja: właśnie przetestowałem to na maszynie wirtualnej z Firefoksem i Chrome ... Firefox działał, ale Chrome ulega awarii. Może to wynikać z piaskownicy, której używa, ale nie jestem pewien i prawdopodobnie jest to proste obejście.

Edycja2: Tak, to piaskownica. Jeśli dodasz --no-sandbox do skrótu, zadziała: \ Jeśli masz sandboxie, możesz ustawić Chrome tak, aby był wymuszony na piaskownicy, która jest szyfrowana przez użytkownika przeglądarki.

Riguez
źródło
Pomocne może być korzystanie z różnych poświadczeń. Chrome może nie zostać uruchomiony jako inny użytkownik, ponieważ instaluje się dla bieżącego użytkownika, a inne konto nie może go uruchomić / uzyskać do niego dostępu.
Nime Cloud,
0

Większość współczesnych systemów operacyjnych obsługuje model zabezpieczeń o nazwie „ Obowiązkowa kontrola dostępu ”, który może łatwo osiągnąć to, czego chcesz, ale wiedza wymagana do prawidłowej konfiguracji zasad kontroli dostępu jest trudna do nauczenia.

Prostszym rozwiązaniem w systemie Windows jest użycie opartego na hoście systemu wykrywania włamań (HIDS), który jest teraz zawarty w wielu programach antywirusowych. Zazwyczaj umożliwiają ustawienie reguł dla każdej aplikacji, do której zasobów ma dostęp. Po prostu umieść folder plików cookie na liście plików chronionych (lub plików prywatnych lub jakkolwiek są one nazywane w oprogramowaniu A / V) i zezwalaj tylko IE na dostęp do nich. Niektóre produkty antywirusowe nie mają ochrony ponownie dostęp do odczytu, w takim przypadku może być konieczne powrót do tworzenia użytkownika tylko w celu uzyskania dostępu do tej aplikacji (IE).

Jeśli jednak chcesz rozwiązać problem, możesz uruchomić IE w piaskownicy.

billc.cn
źródło
0

Automatyczne korzystanie z tymczasowych plików internetowych może pomóc, jeśli korzystasz z przeglądarki Internet Explorer.

Jeśli chcesz zachować pliki cookie, po prostu zaszyfruj dyski, usuń ukryte udziały administracyjne i ogranicz dostęp do folderów, które chcesz chronić. Użyj kombinacji Win + L, przypisz hasło, gdy komputer powróci z wygaszacza ekranu. To jest to co robię.

Nime Cloud
źródło
Jak ograniczyć dostęp ? W każdym razie każdy program na komputerze ma takie same uprawnienia jak ja.
Kliknij prawym przyciskiem myszy dowolny folder> wybierz Właściwości. Otworzy się okno dialogowe. Kliknij kartę bezpieczeństwa, ustaw uprawnienia. PS: Możesz ustawić uprawnienia na dyskach sformatowanych w systemie NTFS. Wiele dysków twardych jest sformatowanych w systemie NTFS. Wiele dysków przenośnych - w tym karty pamięci i pamięci USB - nie jest.
Nime Cloud,
1
@Nime Cloud: chce chronić swoje pliki przed programem , a nie przed użytkownikiem . To, co opisujesz, pozwala jedynie na ustawienie list ACL w zależności od zalogowanego użytkownika. Jedną z opcji może być uruchomienie wybranych programów jako inny użytkownik i odpowiednie zmodyfikowanie list ACL plików. Czuję jednak problem architektoniczny i utraconą przyczynę.
Jürgen Strobel
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.