Wie kann verhindert werden, dass schmutzige Hände meine Kekse berühren?

8

Nach meiner anderen Frage scheinen meine Cookies ungeschützt zu sein. (Ich hätte wissen müssen, dass ich vor einiger Zeit Cookies manuell aus temporären Internetdateien gelöscht habe.)

Um meine Frage etwas allgemeiner zu gestalten:

Wie kann verhindert werden, dass ein Programm auf meinem Computer auf einige Ressourcen auf meinem Computer zugreift?

Oder umgekehrt:

Wie kann der Zugriff auf einige Ressourcen nur für ausgewählte Programme geöffnet werden?

Oder eine scheinbar unpraktische Anfrage:

Wie kann man Programme um Erlaubnis bitten lassen, wenn sie auf bestimmte Ressourcen zugreifen möchten?

Windows 7 macht es jedoch zur Regel, Administratorrechte anzufordern, wenn Änderungen an Systemdateien vorgenommen werden. Der Zugriff auf Ressourcen (ich meine nur anzeigen) steht jedoch allen Programmen offen.

Virtuelle Maschinen scheinen eine Wahl zu sein, aber diese von einer virtuellen Maschine isolierten Programme haben keine Chance, die Ressourcen des äußeren (Host-) Systems anzuzeigen, was nicht vorzuziehen scheint.

Ich verwende jetzt Windows 7, aber Lösungen auf jedem Betriebssystem sind willkommen.

windows-7 privileges Gemeinschaft
quelle

Antworten:

7

Nun, lassen Sie mich einen Teil Ihrer weiteren Frage zuerst beantworten: wie es zu tun . Meine unmittelbare Erfahrung ist unter Linux, aber Sie sagten, dass Antworten auf jeder Plattform willkommen seien. Wenn Sie unter Linux arbeiten, benötigen Sie möglicherweise Root-Zugriff, um auf Ihre Cookies auf andere Weise als (im Prinzip) zuzugreifen. Das allgemeine Verfahren würde folgendermaßen aussehen:

  1. Ändern Sie die Berechtigungen der Datei so, dass andere Benutzer sie nicht lesen können. chmod 600 <file>sollte als der richtige Modus dafür funktionieren.
  2. Testen Sie, um sicherzustellen, dass Ihr Browser diese Berechtigungen nicht versehentlich beeinträchtigt.
  3. Erstellen Sie ein neues Benutzerkonto für Ihren Browser. Nennen wir es foxyaus Gründen der Argumentation.
  4. Ändern Sie den Besitz der Cookie-Datei des Browsers in foxysowie alles andere, in das der Browser möglicherweise schreiben muss. (Grundsätzlich könnte grundsätzlich alles im Benutzerverzeichnis des Browsers betroffen sein.)
  5. Testen Sie, um sicherzustellen, dass Ihr Browser immer noch weiß, wo seine Cookies gespeichert sind, wenn er als ausgeführt wird foxy. Geben Sie bei Bedarf foxyein Home-Verzeichnis ausschließlich für solche Dinge an.
  6. Verwenden visudoSie diese foxyOption , um sich selbst die Erlaubnis zu geben, aber nur, wenn Sie Ihren Browser ausführen , um Benutzer in Die Zeile in der sudoers-Datei zu ändern <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Dies würde garantieren, dass Sie nur die Berechtigung haben, dieses eine bestimmte Programm als Benutzer auszuführen foxy.
  7. Schreiben Sie ein Shell-Skript, das Ihren Browser mit dem angegebenen Benutzernamen ausführt, damit Sie die .desktop-Dateien der Links, die Sie zum Öffnen des Browsers verwenden, erneut anpassen können. Nehmen wir an, Sie setzen es auf /usr/local/bin/browse; es könnte einfach enthalten (nach der Hash-Bang-Linie) sudo -u foxy /usr/bin/firefoxoder so.

Der Teil, den Linux wirklich gut macht, liegt in diesen zusätzlichen Optionen. Ich weiß nicht viel über Windows 7, aber ich wäre etwas überrascht, wenn es dasselbe tun könnte - wenn es ein Ersatzbenutzersystem hätte, das den Benutzer, den Sie ersetzen, aufgrund des ausführbaren Namens einschränken könnte. (Beachten Sie, dass foxyein dedizierter Angreifer nicht durch einen willkürlichen Befehl ersetzt wird , wenn ich mir nur die willkürliche Erlaubnis erteile, als zu ersetzen. Er ersetzt lediglich einen willkürlichen Befehl zum Auslesen der Cookies als foxy.

Lassen Sie mich nun erklären, warum dies möglicherweise die falsche Frage ist. Google Mail verfügt über nette Optionen, die Sie dazu zwingen, Ihre Cookies nur über TLS / SSL (gesicherte Browserverbindungen) zu senden. Die meisten login-basierten Dienste tun dies nicht . Dies bedeutet, dass Ihre Cookies grundsätzlich für die gesamte Internetinfrastruktur sichtbar sind. Überraschenderweise hat sich diese Infrastruktur als ziemlich passiv erwiesen und wird Sie im Allgemeinen nicht angreifen, außer vielleicht, um Sie zu zensieren, obwohl es Teile des Internets wie Tor gibt, in denen diese Regel vollständig verletzt wird.

Es ist jedoch immer noch ein Problem, wenn Sie beispielsweise die WLAN-Verbindung eines anderen Benutzers verwenden. Sie können alles "hören", was Sie senden, was nicht TLS ist, und Sie haben keine Möglichkeit, sie zu stoppen, ohne beispielsweise ein sicheres Proxy-Schema zu verwenden, um durchzukommen. (Wie Tor! ... whoops.) Es ist nicht nur die drahtlose Sicherheit, von der ich spreche (obwohl Ihre Cookies möglicherweise auch von Personen gefährdet sind, die einen Laptop im selben Raum haben, wenn sie keine ordnungsgemäße Verschlüsselung verwenden wie du). Es ist das Establishment selbst. Vielleicht ist Ihr Hotelangestellter technologisch versiert und möchte den Internetverkehr in dem Hotel, in dem er arbeitet, abhören. Wie hältst du ihn auf?

Sie könnten dies auch unter Linux lösen, aber es erfordert, dass Sie jemandem ein wenig Geld ausgeben, um einen sogenannten SSH-Tunnelserver zu kaufen . Es ist ein Remote-Proxy, den Sie steuern und der (hoffentlich) eine sicherere Internetverbindung hat als Ihre täglichen drahtlosen Reisen. Sie stellen über eine verschlüsselte Verbindung eine Verbindung her. Es hängt immer noch vom Rest des Internets ab, sicher zu sein, aber Ihre unmittelbare Umgebung kann unsicher sein. Wenn Sie eine ~/.ssh/authorized_keysDatei auf diesem Server einrichten, können Sie den Tunnel ohne Angabe eines Kennworts zum Laufen bringen. Möglicherweise möchten (oder müssen) Sie jedoch ein Shell-Skript einrichten, um dies standardmäßig wie zuvor zu Firefox hinzuzufügen.

CR Drost
quelle
In Windows sind "Runas" möglicherweise Teil der Lösung für die Ausführung durch alternative Benutzer sowie für die ordnungsgemäße Verwendung der NTFS-ACL
Journeyman Geek
1

Eine Möglichkeit, dies zu erreichen ...

  1. Erstellen Sie ein neues Benutzerkonto und legen Sie ein Passwort fest
  2. Melden Sie sich bei diesem Konto an und installieren Sie Chrome oder führen Sie Firefox aus, um den Ordner% Appdata% zu erstellen
  3. Verschlüsseln Sie diesen% AppData% -Ordner mit EFS (Rechtsklick -> Eigenschaften -> Erweitert -> Verschlüsseln ...)
  4. Wechseln Sie zu Ihrem Hauptkonto. Halten Sie die Umschalttaste gedrückt, klicken Sie mit der rechten Maustaste auf die Verknüpfung Ihres Browsers und wählen Sie "Als anderer Benutzer ausführen".
  5. Geben Sie die neuen Kontoanmeldeinformationen ein und klicken Sie auf OK

Sie führen den Browser jetzt als einen anderen Benutzer aus und diese Dateien werden verschlüsselt, sodass nur der Benutzer / die Anwendung sie lesen kann.

Für Chrome müssen Sie die Verknüpfung bearbeiten, um das im Browserkonto installierte Chrome zu öffnen.

Sie müssen auch das Download-Verzeichnis in Ihre Hauptbenutzer ändern und dem Browser-Benutzer die Berechtigung für dieses Verzeichnis erteilen. Andernfalls können Sie es auf einen öffentlichen Ordner festlegen und diesen öffentlichen Ordner als Bibliothek hinzufügen.

Bearbeiten: Habe es gerade in einer VM mit Firefox und Chrome getestet ... Firefox hat funktioniert, aber Chrome stürzt ab. Es könnte an der verwendeten Sandbox liegen, aber ich bin mir nicht sicher und es gibt wahrscheinlich eine einfache Lösung.

Edit2: Ja, es ist der Sandkasten. Wenn Sie der Verknüpfung --no-sandbox hinzufügen, funktioniert dies: \ Wenn Sie sandboxie haben, können Sie Chrome so einstellen, dass es in eine Sandbox gezwungen wird, die vom Browserbenutzer verschlüsselt wird.

Riguez
quelle
Das Ausführen mit unterschiedlichen Anmeldeinformationen kann hilfreich sein. Chrome wird möglicherweise nicht als anderer Benutzer gestartet, da es sich selbst für den aktuellen Benutzer installiert und ein anderes Konto nicht ausgeführt werden kann.
Nime Cloud
0

Die meisten modernen Betriebssysteme unterstützen ein Sicherheitsmodell namens " Obligatorische Zugriffskontrolle ", mit dem Sie problemlos das erreichen können, was Sie möchten. Die für die korrekte Konfiguration der Zugriffssteuerungsrichtlinien erforderlichen Kenntnisse sind jedoch schwer zu erlernen.

Eine einfachere Lösung unter Windows ist die Verwendung eines Host-basierten Intrusion-Detection-Systems (HIDS), das jetzt in vielen Antivirensoftwareprogrammen enthalten ist. In der Regel können Sie Regeln für jede Anwendung festlegen, auf die Ressourcen zugegriffen werden kann. Fügen Sie einfach Ihren Cookie-Ordner in die Liste der geschützten Dateien (oder privaten Dateien oder wie auch immer sie in Ihrer A / V-Software genannt werden) ein und lassen Sie nur den IE darauf zugreifen. Einige Antivirenprodukte haben keinen erneuten Lesezugriff. In diesem Fall müssen Sie möglicherweise nur einen Benutzer erstellen, um auf diese Anwendung (IE) zuzugreifen.

Wenn Sie jedoch die Probleme lösen möchten, können Sie den IE in einer Sandbox ausführen.

billc.cn
quelle
0

Das automatische Leeren temporärer Internetdateien kann hilfreich sein, wenn Sie Internet Explorer verwenden.

Wenn Sie Cookies behalten möchten, verschlüsseln Sie einfach die Datenträger, entfernen Sie die administrativ verborgenen Freigaben und beschränken Sie den Zugriff auf Ordner, in denen Sie schützen möchten. Verwenden Sie die Win + L-Kombination und weisen Sie ein Kennwort zu, wenn der Computer vom Bildschirmschoner zurückkehrt. Das ist, was ich tue.

Nime Cloud
quelle
Durch den Zugang zu beschränken , wie? Wie auch immer, jedes Programm auf dem Computer hat das gleiche Privileg wie ich.
Klicken Sie mit der rechten Maustaste auf einen Ordner und wählen Sie Eigenschaften. Ein Dialogfeld wird geöffnet. Klicken Sie auf die Registerkarte Sicherheit und legen Sie die Berechtigungen fest. PS: Sie können Berechtigungen für NTFS-formatierte Laufwerke festlegen. Viele Festplatten sind NTFS-formatiert. Viele tragbare Laufwerke - einschließlich Speicherkarten und USB-Speicher - sind dies nicht.
Nime Cloud
1
@Nime Cloud: Er möchte seine Dateien vor einem Programm schützen , nicht vor einem Benutzer . Was Sie beschreiben, erlaubt nur das Festlegen von ACLs abhängig vom angemeldeten Benutzer. Eine Möglichkeit besteht darin, die ausgewählten Programme als anderer Benutzer auszuführen und die Datei-ACLs entsprechend zu ändern. Ich rieche jedoch ein architektonisches Problem und eine verlorene Sache.
Jürgen Strobel