Як запобігти дотику брудними руками мого печива?

Згідно з моїм іншим питанням , схоже, що мої файли cookie незахищені. (Я мав би знати, що колись я просто вручну видаляв файли cookie з тимчасових файлів Інтернету.)

Отже, щоб зробити моє запитання трохи більш загальним:

Як запобігти доступу програми до мого комп'ютера до якихось ресурсів на моєму комп’ютері?

Або навпаки:

Як відкрити доступ до деяких ресурсів лише до вибраних програм?

Або, здавалося б, непрактичний запит:

Як змусити програми запитувати дозволу, коли вони хочуть отримати доступ до певних ресурсів?

Хоча Windows 7 передбачає правило запитувати права адміністратора, коли вносяться зміни до системних файлів. Однак доступ до (я маю на увазі, просто перегляд) ресурсів відкритий для всіх програм.

Віртуальні машини, здається, є вибором, але ті програми, виділені віртуальною машиною, не мають жодного шансу переглянути будь-який з ресурсів зовнішньої (хост) системи, що, здається, не є кращим.

Зараз я використовую Windows 7, але рішення на будь-якій ОС вітаються.

Ну, дозвольте спочатку відповісти на одну частину вашого більш широкого запитання: як це зробити . Мій безпосередній досвід роботи з Linux, але ви сказали, що відповіді на будь-якій платформі вітаються, тому тут йдеться. Якщо ви працювали в Linux, ви, ймовірно, могли вимагати кореневого доступу для доступу до файлів cookie будь-яким іншим способом, ніж (в принципі) їх видалення. Загальна процедура виглядала б так:

1. Змініть дозволи файлу, щоб інші користувачі не могли його читати. chmod 600 <file>повинен працювати як правильний режим для цього.
2. Перевірте, чи переконався, що ваш веб-переглядач випадково не перекриває ці дозволи.
3. Створіть новий обліковий запис користувача для свого браузера. Назвемо це foxyзаради аргументу.
4. Змініть право власності на файл cookie веб-переглядача foxy, а також на все інше, на що браузеру може знадобитися написати. (Дійсно, все в каталозі користувачів браузера в принципі може вплинути.)
5. Перевірте, чи переконується ваш веб-переглядач, де зберігаються його файли cookie під час запуску foxy. Якщо потрібно, дайте foxyдомашній каталог виключно для таких речей.
6. Використовуйте, visudoщоб надати собі дозвіл, але лише під час запуску веб-переглядача, щоб змінити користувачів на foxyрядок у файлі sudoers виглядав би щось подібне <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Це гарантувало б, що у вас є лише дозвіл на запуск цієї конкретної програми як користувача foxy.
7. Напишіть скрипт оболонки, який запускає ваш веб-переглядач із заданим іменем користувача, щоб ви могли переправити файли .desktop посилань, які ви використовуєте для відкриття браузера. Скажімо, ви поставили це /usr/local/bin/browse; він може просто містити (після лінії хеш-бангу) sudo -u foxy /usr/bin/firefoxабо так.

Частина, яку Linux робить дуже добре, полягає в таких додаткових опціях. Я мало знаю про Windows 7, але я був би дещо здивований, якби він міг зробити те саме - якби у нього була система користувача-замінника, яка могла б обмежувати користувача, якого ви замінюєте, залежно від імені виконавця. (Зверніть увагу, що якщо я просто даю собі довільний дозвіл на заміну як foxy, це не зупинить спеціального зловмисника; вони просто замінять довільну команду для читання файлів cookie як foxy.

Тепер дозвольте мені пояснити, чому, можливо, це неправильне питання. У Gmail є приємні варіанти, які змушують надсилати файли cookie лише через TLS / SSL (захищені веб-переглядачі). Більшість сервісів на основі входу ні . Це означає, що ваші файли cookie в принципі доступні для всієї інтернет-інфраструктури. Дивно, але ця інфраструктура виявилася досить пасивною і, як правило, не нападе на вас, крім, можливо, цензури на вас, хоча є такі частини Інтернету, як Тор, де це правило повністю порушується.

Однак це все ще проблема, коли, скажімо, ви використовуєте чуже WiFi-з'єднання. Вони можуть "чути" все, що ви надсилаєте, але це не TLS, і у вас немає можливості зупинити їх, скажімо, за допомогою захищеної схеми наближення, щоб пройти. (Як Tor! ... whoops.) Я говорю не про безпеку бездротового зв'язку (хоча якщо вони не використовують належне шифрування, ваші файли cookie також можуть загрожувати тим, хто має ноутбук у цій же кімнаті як ти). Це сам заклад. Можливо, ваш працівник офісного бюро виявляється технологічно підкованим і хоче підслухати інтернет-трафік у готелі, в якому він працює; як ти його зупиниш?

Ви також можете це вирішити в Linux, але для того, щоб купити те, що називається тунельним сервером SSH, потрібне обстрілювати трохи грошей . Це віддалений проксі, яким ви керуєте, який має (сподіваємось) безпечніше з'єднання з Інтернетом, ніж щоденні бездротові рейси; ви підключаєтесь до нього через зашифроване з'єднання. Це все ще залежить від решти Інтернету, щоб бути безпечним, але ваше найближче оточення може бути небезпечним. Встановивши ~/.ssh/authorized_keysфайл на цьому сервері, ви можете змусити тунель працювати без надання пароля, хоча ви, можливо, захочете (або доведеться) встановити скрипт оболонки, щоб додати це до Firefox за замовчуванням, як і раніше.

Один із способів ви можете досягти цього ...

1. Створіть новий обліковий запис користувача та встановіть пароль
2. Увійдіть до цього облікового запису та встановіть Chrome або запустіть Firefox, щоб створити папку% Appdata%
3. Зашифруйте папку% AppData% за допомогою EFS (Клацніть правою кнопкою миші -> Властивості -> Додатково -> Шифрувати ...)
4. Перейдіть до свого основного облікового запису Затримайте Shift та клацніть правою кнопкою миші на ярлику веб-переглядача та виберіть "Запустити як інший користувач"
5. Введіть нові облікові дані облікового запису та натисніть кнопку ОК

Зараз ви запускаєте браузер як інший користувач, і ці файли зашифровані, щоб лише користувач / програма могли їх читати.

Для Chrome вам потрібно буде відредагувати ярлик, щоб відкрити Chrome, встановлений в обліковому записі браузера.

Вам також потрібно буде змінити каталог завантажень для ваших основних користувачів і надати користувачеві браузера дозвіл у цьому каталозі, або ви можете встановити його в загальнодоступну папку та додати цю публічну папку як бібліотеку.

Редагувати: Тільки тестували його у віртуальній машині з Firefox та Chrome ... Firefox працював, але Chrome виходить з ладу. Це може бути пов'язано з пісочницею, яку він використовує, але я не впевнений, і, мабуть, існує проста робота.

Edit2: Так, це пісочниця. Якщо ви додасте --no-sandbox до ярлика, воно буде спрацьовувати: \ Якщо у вас є пісочниця, ви можете встановити Chrome, щоб він був змушений перейти в пісочницю, зашифровану користувачем браузера.

Більшість сучасних ОС підтримує модель безпеки під назвою " Обов'язковий контроль доступу ", яка дозволяє легко досягти бажаного, але знання, необхідні для правильної настройки політики контролю доступу, важко засвоїти.

Більш простим рішенням для Windows є використання Host-системи виявлення вторгнень (HIDS), яка зараз включена до багатьох антивірусних програм. Зазвичай вони дозволяють встановлювати правила для кожної програми, на яких ресурсах вона може отримати доступ. Просто введіть папку cookie у список захищених файлів (або приватних файлів, або як вони називаються у вашому A / V програмному забезпеченні), і дозвольте IE отримати доступ до них. Деякий антивірусний продукт знову не має захисту для читання, і в цьому випадку вам, можливо, доведеться створити користувача лише для доступу до цієї програми (IE).

Однак якщо ви хочете пережити проблеми, ви можете запустити IE в пісочниці.

Автоматичне спорожнення тимчасових Інтернет-файлів може допомогти, якщо ви користуєтеся Internet Explorer.

Якщо ви хочете зберегти файли cookie, просто зашифруйте диски, видаліть адміністративні параметри -hidden- та обмежте доступ до папок, де ви хочете захистити. Використовуйте комбінацію Win + L, призначте пароль, коли комп'ютер повернеться із заставки. Це я і роблю.

• BitLocker
• TrueCyrpt