Come impedire alle mani sporche di toccare i miei biscotti?

8

Secondo la mia altra domanda , sembra che i miei cookie non siano protetti. (Avrei dovuto sapere che, dato che un tempo avevo appena eliminato manualmente i cookie dai file temporanei di Internet.)

Quindi, per rendere la mia domanda un po 'più generale:

Come impedire a un programma sul mio computer di accedere ad alcune risorse sul mio computer?

O viceversa:

Come aprire l'accesso di alcune risorse solo ai programmi selezionati?

O una richiesta apparentemente poco pratica:

Come fare in modo che i programmi chiedano l'autorizzazione quando desiderano accedere a determinate risorse?

Sebbene Windows 7 renda una regola richiedere privilegi amministrativi quando vengono apportate modifiche ai file di sistema. Tuttavia, l'accesso alle risorse (intendo, basta vedere) è aperto a tutti i programmi.

Le macchine virtuali sembrano essere una scelta, ma quei programmi isolati da una macchina virtuale non hanno alcuna possibilità di visualizzare alcuna delle risorse del sistema esterno (host), che non sembra essere preferibile.

Sto usando Windows 7 ora, ma le soluzioni su qualsiasi sistema operativo sono benvenute.

windows-7  privileges 
Comunità
fonte

Risposte:

7

Bene, lasciami rispondere prima a una parte della tua domanda più ampia: come farlo . La mia esperienza immediata è su Linux, ma hai detto che le risposte su qualsiasi piattaforma erano benvenute, quindi ecco qui. Se eri su Linux, probabilmente potresti richiedere l'accesso come root per accedere ai tuoi cookie in modo diverso dall'eliminazione (in linea di principio). La procedura generale sarebbe simile a questa:

  1. Modifica le autorizzazioni del file in modo che altri utenti non possano leggerlo. chmod 600 <file>dovrebbe funzionare come la modalità giusta per questo.
  2. Prova per assicurarti che il tuo browser non blocchi queste autorizzazioni accidentalmente.
  3. Crea un nuovo account utente per il tuo browser. Chiamiamolo foxyper amor di discussione.
  4. Cambia la proprietà del file dei cookie del browser foxy, così come qualsiasi altra cosa su cui il browser potrebbe dover scrivere. (In linea di principio, tutto ciò che potrebbe essere nella directory degli utenti del browser potrebbe essere interessato.)
  5. Prova per assicurarti che il tuo browser sappia ancora dove sono memorizzati i suoi cookie quando vengono eseguiti foxy. Se necessario, dare foxyuna home directory esclusivamente per tali cose.
  6. Utilizzare visudoper concedere l'autorizzazione, ma solo quando si esegue il browser, per modificare gli utenti in foxyLa riga nel file sudoers sarebbe simile <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Ciò garantirebbe che tu abbia l'autorizzazione per eseguire questo particolare programma come utente foxy.
  7. Scrivi uno script di shell che esegue il tuo browser con il nome utente specificato, in modo da poter reinstallare i file .desktop dei link che usi per aprire il browser. Diciamo che lo hai messo a /usr/local/bin/browse; potrebbe semplicemente contenere (dopo la linea hash-bang) sudo -u foxy /usr/bin/firefoxo giù di lì.

La parte che Linux fa davvero bene è in questo tipo di opzioni extra. Non so molto di Windows 7, ma sarei un po 'sorpreso se potesse fare la stessa cosa - se avesse un sistema utente sostitutivo che potrebbe limitare l'utente che sostituisci in base al nome dell'eseguibile. (Nota che se mi concedo il permesso arbitrario di sostituirlo come foxy, questo non fermerà un attaccante dedicato; sostituiranno semplicemente un comando arbitrario per leggere i cookie come foxy.

Ora lasciami spiegare perché forse questa è la domanda sbagliata. Gmail sembra avere delle belle opzioni che ti costringono a inviare i tuoi cookie solo su TLS / SSL (connessioni di navigazione sicure). La maggior parte dei servizi basati sull'accesso no . Ciò significa che i cookie sono in linea di principio visualizzabili per l'intera infrastruttura Internet. Sorprendentemente, quell'infrastruttura si è dimostrata abbastanza passiva e generalmente non ti attaccherà, tranne forse per censurarti, anche se ci sono parti di Internet come Tor in cui questa regola si infrange completamente.

Tuttavia, è ancora un problema quando, diciamo, stai usando la connessione WiFi di qualcun altro. Possono "ascoltare" tutto ciò che invii che non è TLS, e non hai modo di fermarli senza, per esempio, usare uno schema di proxy sicuro per farcela. (Come Tor! ... whoops.) Non è solo la sicurezza wireless di cui sto parlando (anche se se non usano una crittografia adeguata, i tuoi cookie potrebbero anche essere in pericolo per chiunque abbia un laptop nella stessa stanza come te). È lo stabilimento stesso. Forse il tuo addetto alla reception dell'albergo è tecnologicamente esperto e vuole intercettare il traffico Internet dell'hotel in cui lavora; come lo fermi?

Puoi anche risolverlo in Linux, ma è necessario sborsare un po 'di soldi a qualcuno per acquistare quello che viene chiamato un server tunnel SSH . È un proxy remoto che controlli che ha (si spera) una connessione Internet più sicura rispetto ai tuoi viaggi wireless quotidiani; ti connetti ad esso tramite una connessione crittografata. Dipende dal resto di Internet per essere sicuro, ma l'ambiente circostante può essere insicuro. Impostando un ~/.ssh/authorized_keysfile su quel server puoi far funzionare il tunnel senza fornire una password, anche se potresti voler (o dover) impostare uno script di shell per aggiungerlo a Firefox per impostazione predefinita, come prima.

CR Drost
fonte
In Windows le "runas" potrebbero far parte della soluzione per l'esecuzione di utenti alternativi, nonché un uso corretto di NTFS ACL
Journeyman Geek
1

Un modo in cui puoi ottenere questo ...

  1. Crea un nuovo account utente e imposta una password
  2. Accedi a quell'account e installa Chrome o esegui Firefox per creare la cartella% Appdata%
  3. Crittografa la cartella% AppData% utilizzando EFS (clic destro -> Proprietà -> Avanzate -> Crittografa ...)
  4. Passa al tuo account principale Tieni premuto Maiusc e fai clic con il pulsante destro del mouse sul collegamento del browser e scegli "Esegui come utente diverso"
  5. Immettere le nuove credenziali dell'account e fare clic su OK

Ora stai eseguendo il browser come un altro utente e quei file sono crittografati in modo che solo l'utente / l'applicazione possano leggerli.

Per Chrome dovrai modificare il collegamento per aprire Chrome installato nell'account del browser.

Sarà inoltre necessario modificare la directory di download per gli utenti principali e concedere all'utente del browser l'autorizzazione su quella directory oppure è possibile impostarla su una cartella pubblica e aggiungere quella cartella pubblica come libreria.

Modifica: appena testato in una VM con Firefox e Chrome ... Firefox ha funzionato ma Chrome si arresta in modo anomalo. Potrebbe essere a causa della sandbox che utilizza, ma non ne sono sicuro e probabilmente c'è una soluzione semplice.

Edit2: Sì, è la sandbox. Se aggiungi --no-sandbox al collegamento funzionerà: \ Se hai sandboxie puoi impostare Chrome in modo che venga forzato in un sandbox crittografato dall'utente del browser.

Riguez
fonte
L'esecuzione con credenziali diverse potrebbe essere di aiuto. Chrome potrebbe non avviarsi come utente diverso perché si installa per l'utente corrente e un altro account non può eseguirlo / accedervi.
Nime Cloud,
0

La maggior parte dei sistemi operativi moderni supporta un modello di sicurezza chiamato " Controllo degli accessi obbligatori " che può facilmente ottenere ciò che si desidera, ma le conoscenze necessarie per configurare correttamente i criteri di controllo degli accessi sono difficili da apprendere.

Una soluzione più semplice su Windows consiste nell'utilizzare un sistema di rilevamento delle intrusioni (HIDS) basato su host che è ora incluso in molti software antivirus. In genere ti permetteranno di impostare regole per ogni applicazione a cui accedere alle risorse. Basta inserire la cartella dei cookie nell'elenco dei file protetti (o file privati ​​o come vengono chiamati nel software A / V) e consentire a IE di accedervi. Alcuni prodotti antivirus non dispongono di protezione di nuovo accesso in lettura, nel qual caso potrebbe essere necessario ricorrere alla creazione di un utente solo per l'accesso a tale applicazione (IE).

Tuttavia, se si desidera superare il problema, è possibile eseguire IE in un sandbox.

billc.cn
fonte
0

Lo svuotamento automatico dei file temporanei Internet potrebbe essere utile se si utilizza Internet Explorer.

Se si desidera conservare i cookie, è sufficiente crittografare i dischi, rimuovere le condivisioni amministrative nascoste e limitare l'accesso alle cartelle in cui si desidera proteggere. Usa la combinazione Win + L, assegna la password quando il computer ritorna dallo screensaver. Questo è ciò che faccio.

Nime Cloud
fonte
Con limitare l'accesso , come? Comunque, qualsiasi programma sul computer ha lo stesso privilegio di me.
Fare clic con il tasto destro su qualsiasi cartella> selezionare Proprietà. Si aprirà una finestra di dialogo. Fai clic sulla scheda Sicurezza, imposta le autorizzazioni. PS: è possibile impostare le autorizzazioni su unità formattate NTFS. Molti dischi rigidi sono formattati NTFS. Molte unità portatili, tra cui schede di memoria e memorie USB, non lo sono.
Nime Cloud,
1
@Nime Cloud: vuole proteggere i suoi file da un programma , non da un utente . Quello che descrivi consente solo di impostare ACL a seconda dell'utente che ha effettuato l'accesso. Un'opzione potrebbe essere quella di eseguire i programmi selezionati come un altro utente e modificare i file ACL di conseguenza. Tuttavia sento l'odore di un problema architettonico e di una causa persa.
Jürgen Strobel,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.