Warnhinweis Firefox ESR nach Upgrade in Debian

    Hallo zusammen!

    Gestern kam bei mir in Debian Stable das Upgrade des Firefox ESR von 115 auf 128. Beim Start des Browsers kam die Meldung unten aus der Beschreibung. Diese bezieht sich auf die Sandbox in Firefox, welche nur funtioniert, wenn angeblich ein Apparmor Profil für den Browser vorhanden ist. Ich habe ein solches Profil (damals aus Github, von Ubuntu auf Debian angepasst), aber das müsste dann ja sicher angepasst werden, womit ich mich aber schwer tue und Debian liefert leider kein solches Profil mit. Und für normale Nutzer ist das Erstellen und Anpassen solcher Profile sicher nicht trivial.

    Habt Ihr einen Tipp, wie man da am besten verfährt? Für mich klingt die Meldung so nach, kannst Du das nicht, gehen Sicherheitsfunktionen in Firefox nur eingeschränkt. Oder sehe ich das falsch?

    Vielen Dank!


    Quote

    Sie sehen vielleicht einen Warnhinweis, dass „einige Sicherheitsfunktionen von Firefox möglicherweise weniger Schutz auf Ihrem aktuellen Betriebssystem bieten“.

    Die Sandbox in Firefox benutzt beim Erstellen neuer Prozesse unprivilegierte Benutzernamensräume, um so die Sicherheit weiter zu erhöhen. Dies kann aber als Sicherheitsrisiko angesehen werden, weshalb einige Linux-Distributionen damit begonnen haben, diese Verwendung einzuschränken und die Funktion nur dort zuzulassen, wo ein AppArmor-Profil vorhanden ist.

    Quote from Dennis50300

    Hm, also ich hab aufm LMDE6 (Debain stable, Linux Mint Debian Edition) auch den ESR parallel zum normalen 131er Firefox, beides Systempakete, funktionieren ohne weiteres, wunderbar :)


    mfG

    Funktionieren tut er auch problemlos. Das ist es ja nicht. Nur klingt das eben so, wenn man kein aktuelles Profil in Apparmor dafür hat, geht z.B. das Sandboxing nur eingeschränkt.

    Naja entweder das Profil selber anpassen.

    Den Debian Maintainer solange auf die Nerven gehen bis sie es anpassen.

    Oder eine Distribution nutzen bei der du das nicht selber machen musst.

    Quote from kim88

    Naja entweder das Profil selber anpassen.

    Den Debian Maintainer solange auf die Nerven gehen bis sie es anpassen.

    Oder eine Distribution nutzen bei der du das nicht selber machen musst.

    Ich fürchte, den Maintainer zu nerven, wird eher ein sinnloses Unterfangen sein! :) Selber anpassen ist für mich wie gesagt etwas schwierig. So tief bin ich da nicht in der Materie drin. Das könnte ich sicher an einem Testrechner versuchen, beim Hauptrechner lieber nicht, da das dann dauern kann.

    Ich nehme an, Ubuntu pflegt diese Profile? Oder gibt es noch weitere?

    Ubuntu pflegt es sicherlich für Ubuntu selbst. Da sie ja AppArmor verwenden. Wahrscheinlich musst du da aber bei einem alten Ubuntu reinschauen -> Ubuntu 20.04 oder so wo Firefox noch als DEB Paket installiert wurde.

    Seit Firefox ein Snap ist, wird das AppArmor Profil (sofern es das überhaupt noch gibt) kaum nocht unter Debian zu verwenden sein.

    Ich hatte vor längerer Zeit mal versucht über aa-genprof eins selber zu erstellen, aber das hat bei mir nicht geklappt.

    Und bis vor etwa 2 Jahren gab es ein solches über Github, da stand extra dabei von Ubuntu auf Debian angepasst. Es wäre für mich einfach interessant, was es mit dieser Meldung in Firefox auf sich hat. Sollte das Profil für dieses Sandboxing Voraussetzung sein, wäre es natürlich geschickt, wenn das dann über die Distribution verfügbar ist.

    Aber klar, das ist für die dann auch wieder ein Aufwand.

    Wenn dir Sandbox super wichtig ist und du dir den Aufwand sparen möchtest installier Firefox doch einfach als Snap oder Flatpak - dort ist eh alles gesandboxt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login