В Firefox для OpenBSD поддержка изоляции файловой системы при помощи системного вызова . Необходимые патчи уже приняты в апстрим firefox и войдут в состав Firefox 72.
Firefox в OpenBSD был и ранее защищён, используя для ограничения доступа каждого типа процессов (main, content и GPU) к системным вызовам, теперь для них также будет ограничен доступ к файловой системе при помощи unveil(). , доступ ограничен директориями ~/Downloads и /tmp; и при загрузке файлов из сети, и при просмотре файлов с диска. Настройки pledge() и unveil() хранятся в файлах в /usr/local/lib/firefox/browser/defaults/preferences/, содержимое которых может переопределяться в файлах из /etc/firefox/. Преимущество второго варианта в том, что только root может редактировать эти файлы.
Ранее аналогичные возможности были в браузеры Chromium и Iridium.
Zdroj: opennet.ru
