Schreibrechte des Firefox (und Erweiterungen) einschränken

    Hallo,

    für meinen heimischen PC wollte ich gern die Schreibrechte des Fx einschränken, um zu verhindern, dass sich schädliche Programme wenn mal eine Lücke genutzt wird gar nicht erst ins System schreiben können.

    Als erstes habe ich begonnen, die Downloadverzeichnisse des Fx und der Erweiterungen (DownloadManagerTweak, Download Statusbar, DownThemAll!, FastVideoDownload und PDF Download) auf ein bestimmtes Verzeichnis zu vereinheitlichen. Dieser Ordner soll dann nur Gast-Rechte erhalten. Bei manchen Erweiterungen hab es aber keine solche Option. Teilweise werden auch Daten in ein temp-Verzeichnis unter Dokumente und Einstellungen geschrieben, das konnte ich nicht anpassen.

    Wenn also schädliche Programme mit einem Download auf die Platte kommen, haben die nur Gast-Rechte und können solange sie in dem Ordner bleiben, erstmal kaum etwas machen.

    Für andere Sicherheitslücken bzw. Downloadverzeichnisse die ich nicht ändern konnte wäre es nun denke ich günstiger, dem Firefox die Schreibrechte zu entziehen, mit Ausnahme von ein paar notwendigen Verzeichnissen (Profilordner z. B.).

    Geht das zu machen?
    Hätte das den gewünschten Effekt oder verspreche ich mir davon zuviel? Hab eich da vielleicht einen Denkfehler?
    Könnte ich auf andere Ordner (z. B. Profilordner) mit Gast-Rechten versehen oder würde das die Funktionalität einschränken?

    Zum einen wäre es vermutlich am einfachsten für XP ein eingeschränktes Benutzerkonto anzulegen.

    Zusätzlich gibt es die Möglichkeit Fx in einer Sandbox laufen zu lassen:
    http://de.wikipedia.org/wiki/Sandbox
    http://www.sandboxie.com/

    Dazu kann ich aber nichts weiter sagen, da ich damit keine Erfahrung habe.

    Aber meist kommen "komische" Sachen sogar vom Benutzer "gewollt" auf den Rechner, da wahllos Kram instaliert wird, bei der Installation ungewollt Zusatzsachen dazuinstaliert werden usw. Und da hilft weder Sandbox noch eingeschränktes Konto.
    Also würde ich mir gar keinen so großen Kopf machen wie ich den Fx total Abschirme, der Nutzen geht gegen 0.

    An beide Möglichkeiten habe ich bereits gedacht.
    eingeschränktes Benutzerkonto:
    Wenn ich recht informiert bin, muss ich ein Konto einer bestimmten Gruppenrichtlinie zuordnen. Diese Richtlinie enthält dann die Rechte, die das Benutzerkonto hat. Wenn ich nun eine Richtlinie habe, die bereits keine Schreibrechte in bestimmte wichtige Ordner hat und ich das für Fx erweitern möchte, müsste ich doch diese Änderungen einzeln einpflegen und sozusagen eine selbst definierte Richtlinie erstellen.

    Sandbox
    Wenn Fx in einer Sandbox läuft, läuft es ja quasi wie unter einem Linux und Änderungen werden trotzdem ins System übertragen.

    Zitat von sgn

    Sandbox
    Wenn Fx in einer Sandbox läuft, läuft es ja quasi wie unter einem Linux und Änderungen werden trotzdem ins System übertragen.

    Welchen Sinn hätte denn da die Sandbox? Der Witz einer Sandbox ist, dass erstmal scheinbar alle Änderungen ausgeführt werden, man sie aber hinterher komplett rückgängig machen kann, weil sie quasi nur virtuell gespeichert wurden.

    Schau dir das von Palli empfohlene Sandboxie ruhig mal näher an, einen besseren Tipp hätte ich auch nicht gehabt. Dieses Tool ist sehr einfach zu bedienen und bietet sogar ohne Konfiguration die Möglichkeit, den Standardbrowser in der Sandbox laufen zu lassen. Das ganze funktioniert so: Du startest den Firefox in der Sandbox. Damit kann der Firefox alle Änderungen erstmal vornehmen wie bisher. Danach hast du die Möglichkeit, entweder die gemachten Änderungen dauerhaft zu übernehmen oder die Sandbox ganz einfach zu löschen. In letzterem Fall ist danach wieder alles so, wie es vor dem Start der Sandbox war und sämtliche in der Sandbox gemachten Systemänderungen werden verworfen. Diese kleine Animation und das dort beschriebene "Transparentpapier-Modell" erklären sehr gut, wie Sandboxie arbeitet.

    Sandboxie ist übrigens Freeware, die Funktionen der Pro-Version braucht man als Privatanwender in der Regel nicht.

    Der Sandbox-Ansatz ist auf jeden Fall besser als dem Firefox auf Systemlevel bestimmte Zugriffsrechte zu entziehen (was natürlich auch möglich wäre). Manche Programmteile und Erweiterungen kommen einfach nicht auf die Idee, das irgendwo der Schreibzugriff gesperrt sein könnte und stürzen ggf. ab. Selbst wenn das Problem aber erkannt wird, müsstest du dich häufig mit Fehlermeldungen herumschlagen. Das umgehst du, indem du alle Änderungen zwar zulässt, aber nur virtuell.

    Zitat von PIGSgrame

    Firefox würde dann aber alle Änderungen nicht wirklich am System vornehmen, sondern das erst speichern, wenn ich die Sandbox dazu anweise.

    Wie aber sollen Änderungen in der Sandbox gespeichert werden, wenn die Sandbox kein komplettes XP (quasi eine Art Abbild des ursprünglichen XPs) nachstellt?

    Zitat von sgn

    Firefox würde dann aber alle Änderungen nicht wirklich am System vornehmen, sondern das erst speichern, wenn ich die Sandbox dazu anweise.

    Richtig, das ist der Sinn des ganzen. Wenn du einfach ein bisschen herumgespielt hast (Erweiterungen bzw. Einstellungen getestet, ungewöhnliches Plugin installiert etc.), kannst du am Ende einfach alles rückgängig machen. Hast du sinnvolle Einstellungen verändert, übernimmst du sie einfach.

    Zitat von sgn

    Wie aber sollen Änderungen in der Sandbox gespeichert werden, wenn die Sandbox kein komplettes XP (quasi eine Art Abbild des ursprünglichen XPs) nachstellt?

    Sandboxie installiert einen Systemlevel-Treiber und speichert alle Dateiänderungen (dazu zählen auch Registry-Einträge und neu erstellte Dateien/Verzeichnisse) in einem Cache-Verzeichnis. Dadurch, dass der Sandboxie-Dienst Kernelmode-Rechte hat, kann er allen anderen Programmen der Vorhandensein der Änderungen vorgaukeln, weil alle Lese- und Schreibzugriffe nicht nur über den regulären Dateisystemtreiber, sondern auch über den Sandbox-Treiber laufen.

    Auf Wunsch kannst du dann dafür sorgen, dass die Änderungen tatsächlich ausgeführt werden. Dazu geht der Sandbox-Treiber die Aufzeichnungen im Cache-Verzeichnis durch und integriert sie (ganz oder teilweise) in das echte Dateisystem. Genauso kannst du die Änderungen verwefen, was im wesentlichen heißt: Der Cache wird geleert, ohne dass die Aufzeichnungen vorher ins Dateisystem geschrieben werden.

    Vereinfacht gesagt: Dadurch, dass die Sandbox auf sehr systemnahem Level arbeitet, muss kein ganzes virtuelles System nachgestellt werden, sondern es genügt, das Gastsystem entsprechend zu manipulieren. Das oben schon erwähnte "Transparentpapier-Modell" trifft das sehr gut, man kann es sich bildlich tatsächlich in etwa so vorstellen.

    Was nicht passiert ist, dass die Änderungen tatsächlich direkt ausgeführt werden und nur aufgezeichnet werden, damit man sie hinterher halbherzig rückgängig machen kann. Solange ein Programm in Sandboxie läuft, werden abgesehen vom Cache-Verzeichnis keine Daten auf der Festplatte angetastet. Sandboxie bringt somit einen ganz wesentlichen Sicherheitsgewinn.
    Natürlich ist auch Sandboxie (oder andere Sandbox-Software) nicht davor gefeit, dass es mal eine Sicherheitslücke gibt und die in der Box eingesperrte Software ausbrechen kann. Allerdings müsste eine Schadsoftware dafür ganz gezielt einen Sandboxie-Exploit ausnutzen, was relativ unwahrscheinlich ist. Klar, dass man trotdem trotzdem immer mit der aktuellsten Version arbeiten sollte.

    Übrigens hast du mit deiner Frage auf etwas Erwähnenswertes hingewiesen: Sandboxie ist strenggenommen keine richtige Sandbox, weil es keine abgeschottete Umgebung mit emuliertem Betriebssystem erzeugt. Stattdessen setzt es auf ein System auf und verhindert, dass Programme dieses System verändern können. Die wesentliche Technologie einer Sandbox stellt Sandboxie somit bereit, aber doch ist es keine vollwertige Sandbox. Für dein Problem spielt das aber eigentlich keine Rolle.

    So langsam wird es doch ein wenig sehr paranoid. Als ob man zum sicheren Surfen die Sandboxie benötigen würde. Hier liegen doch ein paar Missverständnisse vor.

    Die auf einem Ordner liegenden Berechtigungen haben nichts mit den Rechten eines in diesem Ordner befindlichen Programms zu tun, denn diese kommen vom ausführenden Benutzer.

    Ein Firefox ändert doch nichts am System. Einzig bekannte Ausnahme ist die Installation einer globalen Erweiterung.

    Ein Firefox von der Stange führt kein Programm aus.

    Eine heruntergeladene Grafik nude_hippopotamus.jpg.exe sollte man nicht so ohne weiteres aufrufen, schon gar nicht als Administrator. Dafür und für andere Programme aus dubiosen Quellen bietet sich die Sandboxie, oder eine Nummer größer die VirtualBox, an.

    Aber zur Sandboxie und deren Anwendung wurde Dir ja bereits hinreichend geschrieben.

    Zitat von .Ulli

    So langsam wird es doch ein wenig sehr paranoid. Als ob man zum sicheren Surfen die Sandboxie benötigen würde.


    Mein Verständnis von Sandboxie ist, das man damit sicherer unterwegs ist als ohne. Was ist daran falsch? Es sollte sicher nicht so sein das man, wenn man Sandboxie benutzt, Brain ausschalten kann, es beruhigt jedoch sehr.

    Zitat von Heaven_69

    Mein Verständnis von Sandboxie ist, das man damit sicherer unterwegs ist als ohne. Was ist daran falsch?

    Wenn ich eine Schwachstelle mit Außenwirkung im Firefox vermute, ist daran nichts falsch.

    Zitat von Heaven_69

    Es sollte sicher nicht so sein das man, wenn man Sandboxie benutzt, Brain ausschalten kann, es beruhigt jedoch sehr.

    Selbst meine Kids, deren Brain altersgegeben körpermittig angesiedelt ist, haben es bislang nicht geschafft irgendeiner Schadsoftware ein Biotop zu schaffen. Durch Schule und Freunde "aufgeklärt" kommen sie auf Seiten, die meine beste Phantasie nicht hervorbringen kann oder mag. Zugegebenermaßen wurden sie aber auch beim Einstieg ins Internet begleitet.

    Mein Tenor lag aber ganz woanders. Der TO gibt sich einer geglaubten Sicherheit hin ohne das zugrunde liegende System verstanden zu haben.

    Zitat von Palli brachte es bereits auf den Punkt und

    Also würde ich mir gar keinen so großen Kopf machen wie ich den Fx total Abschirme, der Nutzen geht gegen 0.

    Zitat von .Ulli

    Wenn ich eine Schwachstelle mit Außenwirkung im Firefox vermute, ist daran nichts falsch.

    Ich vermute zwar keine, aber ist man sicher? Es werden ja immer mal wieder welche gefunden und wer sagt mir das es nicht schon jemanden gibt der eine ausnützt. Der Schädling ist ja meist einige Stunden vor einer neuen AV-Signatur da bzw. bevor jemand sonst ihn findet.

    Zitat von .Ulli

    Mein Tenor lag aber ganz woanders. Der TO gibt sich einer geglaubten Sicherheit hin ohne das zugrunde liegende System verstanden zu haben.


    Das ist richtig.

    Zitat von Heaven_69

    Ich vermute zwar keine, aber ist man sicher?

    Wahrscheinlich ist man sicher. Eine Sicherheit vom Typus "absolut" gibt es nicht.

    Auch wenn man Dir sagt "Du bist sicher", hat dies nichts mit Deiner gefühlten Sicherheit zu tun - die Gefühlswelt ist ja weder rational begründbar noch veränderbar. Wenn Du Dich mit der Sandboxie wohler fühlst, warum nicht ?

    Vielleicht hab ich mir ja von dem Asatz etwas zuviel versprochen. Ich werde mal Sandboxie versuchen.

    Zitat von PIGSgrame

    Sandboxie installiert einen Systemlevel-Treiber und speichert alle Dateiänderungen (dazu zählen auch Registry-Einträge und neu erstellte Dateien/Verzeichnisse) in einem Cache-Verzeichnis. Dadurch, dass der Sandboxie-Dienst Kernelmode-Rechte hat, kann er allen anderen Programmen der Vorhandensein der Änderungen vorgaukeln, weil alle Lese- und Schreibzugriffe nicht nur über den regulären Dateisystemtreiber, sondern auch über den Sandbox-Treiber laufen.

    Auf Wunsch kannst du dann dafür sorgen, dass die Änderungen tatsächlich ausgeführt werden. Dazu geht der Sandbox-Treiber die Aufzeichnungen im Cache-Verzeichnis durch und integriert sie (ganz oder teilweise) in das echte Dateisystem. Genauso kannst du die Änderungen verwefen, was im wesentlichen heißt: Der Cache wird geleert, ohne dass die Aufzeichnungen vorher ins Dateisystem geschrieben werden.

    Sachen wie Cokkies fallen dann aber nicht unter "Änderungen" die Sandboxie verhindert? Wenn ich z. B. mit Fx eine Datei downloade, wird diese erst später wenn ich es sage gespeichert?

    Jetzt mal weg vom Firefox: Dann wäre das Programm für alle Web-Tools die Daten downloaden (wie z. B. Thunderbird) unbrauchbar, weil der ganze Ansatz zerstört wird.

    Zitat von sgn

    Sachen wie Cokkies fallen dann aber nicht unter "Änderungen" die Sandboxie verhindert?

    Doch. Auch die Cookies (sind ja letzlich auch bloß kleine Textdateien) werden nur auf das "Transparentpapier" geschrieben. Solange die Sandbox nicht exolizit gelöscht wird, bleiben sie verfügbar, auch wenn du den Firefox beendest oder den Rechner neu startest. Beim Löschen der Sandbox (vgl.: Beim Entfernen des aufgelegten Transparentpapiers) werden aber alle Cookies vernichtet, die angelegt wurden, während der Firefox in der Sandbox lief.

    Sandboxie oder überhaupt eine Sandbox unterscheidet nicht zwischen Gut und Böse, sondern sorgt dafür, dass generell alle Änderungen nur virtuell durchgeführt werden. Auf der Festplatte wird nichts angetastet, außer das Cache-Verzeichnis der Sandbox.

    Zitat von sgn

    Jetzt mal weg vom Firefox: Dann wäre das Programm für alle Web-Tools die Daten downloaden (wie z. B. Thunderbird) unbrauchbar, weil der ganze Ansatz zerstört wird.

    Sandboxie bietet die Option, die Änderungen bestimmter Programme sofort zu speichern und nicht erst beim Löschen der Sandbox. Für Mailprogramme böte sich diese Option an, weil man sonst ja seine Mails regelmäßig verliert oder beim Löschen der Sandbox jedes Mal explizit zum Speichern auswählen muss.

    Somit sind die Anmerkungen von .Ulli sehr berechtigt: Der Sicherheitsgewinn durch Sandboxen ist nur ein sehr nützlicher Seiteneffekt. Es spricht nichts dagegen, diesen Effekt zu nutzen, aber Sandboxen sind eigentlich für etwas anderes gedacht: Nämlich zum folgenenlosen Test und zur Verhaltensanalyse von Software.

    Ich hab das jetzt so verstanden (am Bsp. Cookies): Ich erlaube einer Webseite Cookies zu speichern. Der Fx läuft in einer Sandbox. Die Cookies werden nun auf das "Transparentpapier" geschrieben und nur in der Sandbox gespeichert. Lösche ich die Sandbox ohne die Daten auf die HDD zu schreiben ist alles weg. Demnach dürften die Daten aber auch nicht zur Verfügung stehen, wenn ich Fx mal ohne Sandbox starte (und die Cookies nicht auf die HDD hab schreiben lassen). Richtig?

    Gibt es da eine Art Max.Speicher?

    Zitat von PIGSgrame

    Sandboxie bietet die Option, die Änderungen bestimmter Programme sofort zu speichern und nicht erst beim Löschen der Sandbox. Für Mailprogramme böte sich diese Option an, weil man sonst ja seine Mails regelmäßig verliert oder beim Löschen der Sandbox jedes Mal explizit zum Speichern auswählen muss.

    Nur wa sbringt mir dann die Nutzung einer Sandbox, wenn ich Änderungen sofort auf die HDD schreiben lasse. Dann kann ich es auch ohne Sandbox laufen lassen oder übersehe ich hier etwas?

    Zitat von PIGSgrame

    Somit sind die Anmerkungen von .Ulli sehr berechtigt: Der Sicherheitsgewinn durch Sandboxen ist nur ein sehr nützlicher Seiteneffekt. Es spricht nichts dagegen, diesen Effekt zu nutzen, aber Sandboxen sind eigentlich für etwas anderes gedacht: Nämlich zum folgenenlosen Test und zur Verhaltensanalyse von Software.

    Es kann aber auf keinen Fall schaden, Programm die keine Daten laden in einer Sandbox zu starten. Ich denke da z. B. an netzwerkfähige Player fürs Streaming, die ich ungern nutze, weil da öfters mal Sicherheitslücken auftauchen.

    Zitat von sgn

    Ich hab das jetzt so verstanden (am Bsp. Cookies): Ich erlaube einer Webseite Cookies zu speichern. Der Fx läuft in einer Sandbox. Die Cookies werden nun auf das "Transparentpapier" geschrieben und nur in der Sandbox gespeichert. Lösche ich die Sandbox ohne die Daten auf die HDD zu schreiben ist alles weg. Demnach dürften die Daten aber auch nicht zur Verfügung stehen, wenn ich Fx mal ohne Sandbox starte (und die Cookies nicht auf die HDD hab schreiben lassen). Richtig?

    Genau so ist es. Du kannst den Firefox auch jederzeit ohne Sandbox starten und dann stehen die Änderungen, die in der Sandbox durchgeführt wurden, nicht zur Verfügung. Gerade für Erweiterungstests kann dieses Verhalten sehr nützlich sein.

    Zitat von sgn

    Gibt es da eine Art Max.Speicher?

    Soweit ich weiß, nein (außer natürlich die tatsächliche Größe der Festplatte). Zumindest habe ich keine entsprechende Einstellung gefunden.

    Zitat von sgn

    Nur wa sbringt mir dann die Nutzung einer Sandbox, wenn ich Änderungen sofort auf die HDD schreiben lasse. Dann kann ich es auch ohne Sandbox laufen lassen oder übersehe ich hier etwas?

    Nein, das stimmt schon. Ich wollte dir mit diesem Beispiel nur nahebringen, dass sie der Sandbox-Ansatz nicht für alle Programme anbietet und dass man damit sogar richtig etwas durcheinanderbringen kann.

    Generell ist Vorsicht geboten, wenn Daten, die nur einmalig zur Verfügung stehen (POP3-Abruf von e-Mail, Kontoauszüge in der Online-Banking-Software etc.) über die Sandbox abgefragt werden. Um beim letzten Beispiel zu bleiben: Deine Bank weiß natürlich nicht, dass du einen Kontoauszug nur in eine virtuelle Sandbox übernommen hast. Auf ihrem Server ist der Kontoauszug als "abgerufen" markiert. Auch wenn du nun die Sandbox leerst, steht der Auszug nicht mehr zur Verfügung.

    Grundsätzlich kann die Sandbox nur solche Änderungen virtualisieren, die lokal durchgeführt werden - das leuchtet dir sicher sofort ein.

    Zitat von sgn

    Es kann aber auf keinen Fall schaden, Programm die keine Daten laden in einer Sandbox zu starten. Ich denke da z. B. an netzwerkfähige Player fürs Streaming, die ich ungern nutze, weil da öfters mal Sicherheitslücken auftauchen.

    Abgesehen von Sonderfällen wie dem oben erwähnten, kann es natürlich nicht schaden, insbesondere bist du also mit Programmen, die keine Daten laden, auf der sicheren Seite. Trotzdem ist eine Sandbox nicht primär eine Sicherheitslösung, auch wenn sie unbestritten einen Sicherheitsgewinn bieten kann.