在 OpenBSD 的 Firefox 中 支援使用系統呼叫進行檔案系統隔離 。必要的補丁已被上游 Firefox 接受,並將包含在 Firefox 72 中。
OpenBSD 上的 Firefox 之前使用 為了限制每種類型的進程(主進程、內容進程和 GPU)對系統呼叫的訪問,現在也將限制它們使用unveve() 存取檔案系統。 ,存取權限僅限於 ~/Downloads 和 /tmp 目錄;從網路下載檔案時以及從磁碟檢視檔案時。 Pledge() 和unveve() 設定儲存在/usr/local/lib/firefox/browser/defaults/preferences/ 中的檔案中,其內容可以在/etc/firefox/ 中的檔案中覆寫。第二個選項的優點是只有 root 可以編輯這些檔案。
此前,類似的機會 在 Chromium 和 Iridium 瀏覽器中。
來源: opennet.ru
