Gå til innhold

Java, JavaScript og Flash i Linux

Dalon

Av Dalon
i Operativsystemer

Anbefalte innlegg

Dalon

Dalon

Skrevet
Skrevet

Hei.

 

I windows utgjør jo disse innstallasjoner en viss fare for at personer kan utnytter disse programmer til å installere ondsinnede programmer.

 

1. Har disse programmer noen som helst sikkerhetrisko i Linux? (Og selv om man ikke skulle ha siste utgave av programmene?)

 

2. Er alle Linuxutgaver likre "sikre"? Alle blir vel ikke oppdatert like ofte, men går dette ut over sikkerheten?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
BlueEAGLE

BlueEAGLE

Skrevet
Skrevet

Den største sikkerhetrforskjellen ligger i at det er fortsatt en så lav andel som bruker Linux og at det derfor er ferre som lager ondsinnet programvare for Linux.

 

Et operativsystem er aldri bedre enn det svakeste leddet. Hvis du installerer tjenere uten å konfigurere disse skikkelig (noe som var veldig vanlig at distribusjoner gjorde før) så er Linux mindre sikkert mot angrep. De fleste distribusjoner er veldig flinke på patcher. Det at noen distribusjoner kjører eldre utgaver av noen pakker har som oftest med bevist og testet stabilitet av disse pakkene å gjøre. Ikke at de som står bak distribusjonene er late.

 

En god pekepinne er hvor mange versjoner av kjernen en distribusjon slipper da det er her den virkelige forskjellen ofte ligger. Jeg vil her påstå at flere er bedre men flere gjør også ting mer komplisert så jeg forstår godt de som mener at færre er bedre.

Lenke til kommentar
Manuel

Manuel

Skrevet
Skrevet (endret)
Hei.

 

I windows utgjør jo disse innstallasjoner en viss fare for at personer kan utnytter disse programmer til å installere ondsinnede programmer.

 

1. Har disse programmer noen som helst sikkerhetrisko i Linux? (Og selv om man ikke skulle ha siste utgave av programmene?)

 

2. Er alle Linuxutgaver likre "sikre"? Alle blir vel ikke oppdatert like ofte, men går dette ut over sikkerheten?

I regelen så kjører JavaScript-kode og eventuelle "plug-ins" i samme kontekst som nettleseren. Det vil si i samme adresserom og med samme tilgang til ressurser som den prosessen som er assosiert med nettleserprogrammet.

 

Hvor mye skade ondsinnede "plug-ins" kan gjøre avhenger av hvilke mottiltak nettleseren har mot dette, hvilken bruker som eier nettleserprosessen, eventuelle mottiltak nettleseren har mot ondsinnet JavaScript-kode og om nettleseren er begrenset av andre (eksterne) sikkerhetstiltak som AppArmor og SELinux.

 

Etter det jeg vet så er det ingen utbredt nettleser til GNU/Linux som benytter seg av "sandkassemodus" eller noen form for innkapsling for å begrense skaden, som f.eks en feil i Adobe Flash kan utrette. Det betyr at all kode som tolkes av klient (kanskje med unntak av HTML og JavaScript) utgjøre en sikkerhetstrussel for den brukeren som kjører nettleseren.

 

Variasjonen i sikkerheten mellom de ulike Linux-distribusjonene er ikke lett å vurdere. Likevel så kan man trekke noen overordnede konklusjoner ut ifra erfaringer med programvare på generelt basis:

*Å utvide funksjonaliteten til et stykke programvare - det vil si å legge til kode utover det som kan betraktes som vedlikehold (fiksing av feil) vil - nesten ubestridelig introdusere sikkerhetshull. Verifisering og testing kan redusere hyppigheten av slike innslag. Min konlusjon: Ny programvare er mer usikker enn eldre, gjennomtestet og vedlikeholdt programvare.

*De ulike Linux-distribusjonene bruker gjerne den samme programvaren, men ofte i ulike versjoner. Noen ganger så vil distributøren "patche" programvaren, slik at den versjonen som brukes i distributøren sin distro - på et bestemt tidspunkt - ikke er eksakt den samme som i "upstream"-prosjektet. Det finnes også distribusjoner som følger upstreamprosjektet uten å tukle noe med koden på egen hånd. Et eksempel på dette er Slackware. Hvilken innvirkning dette har på sikkerheten, tør jeg ikke å gjette på.

*Noen Linux-distribusjoner er mer konservative ift. introduksjon av ny programvare. F.eks så vil "stable"-utgaven av Debian kun innføre sikkerhets- og stabilitetsoppdateringer mellom de ulike utgivelsene. Jeg er villig til å anta at dette fører til økt sikkerhet.

*Selv om programvaren er den samme, så vil distributøren "pakke" programmene selv. Dette inkluderer bruken av AppArmor- og SELinux-profiler. Begge er det tiltak som kan redusere skadeomfanget hvis det nå skulle oppstå en situasjon hvor serverprogramvare (f.eks printserveren CUPS) ikke lengre er pålitelig. Andre, distrospesifikke tiltak er bruken av "jails". Variasjonene er nok store her, men Ubuntu og Fedora inkluderer profiler for Apparmor og SELinux. Andre distribusjoner er jeg ikke sikker på, men hverken AppArmor eller SELinux er begrenset til Fedora og Ubuntu.

*Som du selv nevner, så er oppdateringsfrekvensen ulik. Man kan også skille mellom distribusjoner som kommer i bestemte utgivelser og de som kontinuerlig introduserer nye funksjoner (såkalt "rolling release"). Det eneste som er sikkert er at hvis du kjører sistnevnte på et produksjonssystem, så burde du virkelig følge godt med.

 

Konklusjon: Jeg antar at man får den beste sikkerheten ved å velge en av de "store" distribusjonene. De har mange bidragsytere, men viktigst av alt: Man er "sikker" på at de vedlikeholdes.

 

Mine kunnskaper om emnet er ytterst begrenset, så jeg har skrevet dette med forbehold om at informasjonen er mangelfull og/eller feilaktig.

Endret av Manuel
Lenke til kommentar
Manuel

Manuel

Skrevet
Skrevet (endret)
Med mindre du kjører nettlesern din med sudo(Super User DO)/su(Super User), kan de ikke gjøre noe vesentlig med din PC. De kan ikke legge seg til på startoppen, eller virkelig kjøre.

Og man installerer hva med trenger, fra pakkebrønnen. Da har man en verifisert sikker kilde :p

Dette er eksempel på tiltak som jeg vil regne som tilstrekkelig i forhold til å unngå "trojanere" og skade på systemet som helhet. Samtidig så kan man jo også argumentere for at det er brukeren sine filer som er de viktigste på systemet (når man sitter med sitt eget system).

 

Siden veldig mange nettsider i dag er avhengig av JavaScript-funksjonalitet, så kommer ikke jeg til å deaktivere dette i nærmeste fremtid. Det hadde vært en god idé å kun la nettleseren kjøre skript på "pålitelige" nettisider, men siden "cross-site-scripting"-svakheter er såpass vanlige så ser jeg ærlig talt ikke vinningen (ift. ulempene) med nettleserutvidelser som NoScript.

 

Når det gjelder Java, så er jeg ikke sikker på hvilken grad JVM er stand til å beskytte systemet mot ondsinnede applets - annet enn at disse kjører i en strengere sandkasse enn ordinære javaprogrammer. Javamaskinen vil gi brukeren en klar advarsel i siste tilfelle. Uansett så er jeg ikke bekymret for å ha Java aktivert i nettleseren.

 

Adobe Flash... Vel, det er mange andre grunner enn sikkerhet for å ikke vise Adobe Flash-innhold med mindre brukeren har gitt spesifikk tillatelse til dette.

 

For min del forholder jeg meg likt til dette, enten jeg sitter i Windows XP, Vista, OS X, Ubuntu eller Fedora.

Endret av Manuel
Lenke til kommentar
Dalon

Dalon

Skrevet
  • Forfatter
Skrevet

Takker for svar. Har et par "dumme" spørsmål til med det samme....

 

Med mindre du kjører nettlesern din med sudo(Super User DO)/su(Super User), kan de ikke gjøre noe vesentlig med din PC. De kan ikke legge seg til på startoppen, eller virkelig kjøre.

Og man installerer hva med trenger, fra pakkebrønnen. Da har man en verifisert sikker kilde :p

 

Er mildt sagt noe lite inne i dette med sudo. Men om man logger inn med brukernavn og passord når man starter opp distroen da er man vel ikke "sudo" og kan surfe "trykt"?

 

Siden veldig mange nettsider i dag er avhengig av JavaScript-funksjonalitet, så kommer ikke jeg til å deaktivere dette i nærmeste fremtid. Det hadde vært en god idé å kun la nettleseren kjøre skript på "pålitelige" nettisider, men siden "cross-site-scripting"-svakheter er såpass vanlige så ser jeg ærlig talt ikke vinningen (ift. ulempene) med nettleserutvidelser som NoScript.

 

Vet ikke helt hva du mener med "cross-site-scripting" (annet en det som ligger i navnet). Men etter det jeg leser ut av ditt inlegg mener du at "NoScript" har en viss effekt? (men selvfølgelig ulemper også som du selv sier)

--------------

Så til mitt siste spørsmål. Når man installerer Java, JavaScript eller Flash i Linux (enten i siste Linux distribusjon eller en "LTS" versjon) vil da disse bli automatisk oppdatert eller må man slette de gamle versjonene og deretter innstallere de nye fra pakkebrønnen?

Lenke til kommentar
Manuel

Manuel

Skrevet
Skrevet
Takker for svar. Har et par "dumme" spørsmål til med det samme....

 

Er mildt sagt noe lite inne i dette med sudo. Men om man logger inn med brukernavn og passord når man starter opp distroen da er man vel ikke "sudo" og kan surfe "trykt"?

Du kan trygt anta at programmer som du starter som "vanlig" bruker (som ofte vil være det som utgjøre skrivebordsmiljøet) ikke kjører under en såkalt effektiv bruker-id som tilsvarer administratorbruker. Det er egentlig ikke et enkelt spørsmål siden en del av programmene som en bruker samhandle med under en innlogging, nødvendigvis må kjøre under en effektiv bruker-id som tilsvarer økte privilegier. For eksempel så må innloggingsprosessen som verifiserer brukeren sitt berettigelsesbevis(passord) være i stand til å sammenligne dette med lagret, "korrekt" svar.

 

Likevel: I praksis så kan ikke programmene du kjører som vanlig bruker, utføre oppgaver som krever administratorrettigheter. Det finnes unntak, og de kalles "sikkerhetshull".

 

Siden veldig mange nettsider i dag er avhengig av JavaScript-funksjonalitet, så kommer ikke jeg til å deaktivere dette i nærmeste fremtid. Det hadde vært en god idé å kun la nettleseren kjøre skript på "pålitelige" nettisider, men siden "cross-site-scripting"-svakheter er såpass vanlige så ser jeg ærlig talt ikke vinningen (ift. ulempene) med nettleserutvidelser som NoScript.

 

Vet ikke helt hva du mener med "cross-site-scripting" (annet en det som ligger i navnet). Men etter det jeg leser ut av ditt inlegg mener du at "NoScript" har en viss effekt? (men selvfølgelig ulemper også som du selv sier)

Nei, jeg kan ikke støtte bruken av NoScript. Ikke bare er det en skikkelig "showstopper" for internettsurfing - hele systemet raser sammen hvis bare én av de godkjente sidene i filteret ditt inneholder en XSS-svakhet. En angriper må vite hvilke sider som ligger i filteret, men jeg kan jo anta at du har hvitelistet Yahoo, diskusjon.no, hw.no osv. NoScript kan selvsagt "hardkode" hva som regnes som "farlig", men det er ikke akkurat en robust løsning for å si det sånn.

 

Hold deg til å blokkere Flash og reklamer (av andre grunner enn sikkerhet), hold nettleseren oppdatert (det viktigste) og vær skeptisk hvis noen skal ha deg til å laste ned og kjøre en binærfil (det nest-viktigste).

 

Så til mitt siste spørsmål. Når man installerer Java, JavaScript eller Flash i Linux (enten i siste Linux distribusjon eller en "LTS" versjon) vil da disse bli automatisk oppdatert eller må man slette de gamle versjonene og deretter innstallere de nye fra pakkebrønnen?

Hvis du installerer Java eller Flash gjennom pakkebehandleren så vil pakkebehandleren hente ned oppdateringer fra pakkebrønnen. Hvis du installerer det på egen hånd uten å bruke pakkebehandleren - dvs. at du ikke installerer deb-filer - så må du sevl sørge for å holde programmene oppdatert.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...