在用于 OpenBSD 的 Firefox 中 支持使用系统调用进行文件系统隔离 。 必要的补丁已被上游 Firefox 接受,并将包含在 Firefox 72 中。
OpenBSD 上的 Firefox 之前使用 为了限制每种类型的进程(主进程、内容进程和 GPU)对系统调用的访问,现在也将限制它们使用unveve() 访问文件系统。 ,访问权限仅限于 ~/Downloads 和 /tmp; 目录。 从网络下载文件时以及从磁盘查看文件时。 Pledge() 和unveve() 设置存储在/usr/local/lib/firefox/browser/defaults/preferences/ 中的文件中,其内容可以在/etc/firefox/ 中的文件中覆盖。 第二个选项的优点是只有 root 可以编辑这些文件。
此前,类似的机会 在 Chromium 和 Iridium 浏览器中。
来源: opennet.ru