Làm thế nào để ngăn bàn tay bẩn chạm vào bánh quy của tôi?

Theo câu hỏi khác của tôi , có vẻ như cookie của tôi không được bảo vệ. (Tôi nên biết rằng đã có lúc tôi chỉ xóa cookie thủ công khỏi Tệp tạm thời trên Internet.)

Vì vậy, để làm cho câu hỏi của tôi tổng quát hơn một chút:

Làm cách nào để ngăn chương trình trên máy tính của tôi truy cập một số tài nguyên trên máy tính của tôi?

Hoặc cách khác xung quanh:

Làm thế nào để mở quyền truy cập của một số tài nguyên chỉ vào các chương trình được chọn?

Hoặc một yêu cầu dường như không thực tế:

Làm cách nào để tạo chương trình yêu cầu sự cho phép khi họ muốn truy cập vào một số tài nguyên nhất định?

Mặc dù Windows 7 biến nó thành một quy tắc để yêu cầu đặc quyền quản trị khi các thay đổi được thực hiện đối với các tệp hệ thống. Tuy nhiên, quyền truy cập vào (ý tôi là, chỉ xem) tài nguyên được mở cho tất cả các chương trình.

Các máy ảo dường như là một sự lựa chọn, nhưng các chương trình bị cô lập bởi một máy ảo sẽ không có cơ hội xem bất kỳ tài nguyên nào của hệ thống (máy chủ) bên ngoài, điều này dường như không thích hợp hơn.

Tôi hiện đang sử dụng Windows 7, nhưng các giải pháp trên mọi hệ điều hành đều được hoan nghênh.

Vâng, hãy để tôi trả lời một phần của câu hỏi rộng hơn của bạn trước: làm thế nào để làm điều đó . Kinh nghiệm trước mắt của tôi là về Linux, nhưng bạn nói rằng câu trả lời trên bất kỳ nền tảng nào đều được chào đón, vì vậy hãy đến đây. Nếu bạn đã sử dụng Linux, có lẽ bạn có thể yêu cầu quyền truy cập root để truy cập cookie của mình theo bất kỳ cách nào khác ngoài (về nguyên tắc) xóa chúng. Thủ tục chung sẽ như thế này:

1. Thay đổi quyền của tệp để người dùng khác không thể đọc được. chmod 600 <file>nên làm việc như chế độ phù hợp cho việc này.
2. Kiểm tra để đảm bảo rằng trình duyệt của bạn không vô tình chặn các quyền đó.
3. Tạo một tài khoản người dùng mới cho trình duyệt của bạn. Hãy gọi nó foxylà vì lý do.
4. Thay đổi quyền sở hữu tệp cookie của trình duyệt thành foxy, cũng như mọi thứ khác mà trình duyệt có thể cần ghi vào. (Về nguyên tắc mọi thứ trong thư mục người dùng của trình duyệt có thể bị ảnh hưởng.)
5. Kiểm tra để đảm bảo rằng trình duyệt của bạn vẫn biết nơi cookie được lưu trữ khi được chạy dưới dạng foxy. Nếu cần thiết, cung cấp foxymột thư mục nhà dành riêng cho những điều đó.
6. Sử dụng visudođể cho phép bản thân bạn, nhưng chỉ khi chạy trình duyệt của bạn, để thay đổi người dùng thành foxyDòng trong tệp sudoers sẽ trông giống như vậy <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Điều này sẽ đảm bảo rằng bạn chỉ có quyền chạy một chương trình cụ thể này với tư cách là người dùng foxy.
7. Viết tập lệnh shell chạy trình duyệt của bạn với tên người dùng đã cho, để bạn có thể chỉnh sửa các tệp .desktop của các liên kết bạn sử dụng để mở trình duyệt. Giả sử bạn đặt nó tại /usr/local/bin/browse; nó chỉ đơn giản có thể chứa (sau dòng hash-bang) sudo -u foxy /usr/bin/firefoxhoặc hơn thế.

Phần mà Linux thực sự làm tốt là trong các loại tùy chọn bổ sung này. Tôi không biết nhiều về Windows 7, nhưng tôi sẽ hơi ngạc nhiên nếu nó có thể làm điều tương tự - nếu nó có một hệ thống người dùng thay thế có thể hạn chế người dùng mà bạn thay thế dựa trên tên thực thi. (Lưu ý rằng nếu tôi chỉ cho phép mình tùy ý thay thế foxy, điều này sẽ không ngăn chặn kẻ tấn công chuyên dụng; họ sẽ chỉ thay thế một lệnh tùy ý để đọc cookie như foxy.

Bây giờ hãy để tôi giải thích tại sao có lẽ đây là câu hỏi sai. Gmail tình cờ có các tùy chọn đẹp mắt buộc bạn chỉ gửi cookie của mình qua TLS / SSL (kết nối duyệt được bảo mật). Hầu hết các dịch vụ dựa trên đăng nhập không . Điều này có nghĩa là các cookie của bạn về nguyên tắc có thể xem được đối với toàn bộ cơ sở hạ tầng Internet. Đáng ngạc nhiên, cơ sở hạ tầng đó đã được chứng minh khá thụ động và thường sẽ không tấn công bạn trừ khi có thể kiểm duyệt bạn, mặc dù có những phần của Internet như Tor nơi quy tắc này bị phá vỡ hoàn toàn.

Tuy nhiên, vấn đề vẫn là khi bạn sử dụng kết nối WiFi của người khác. Họ có thể "nghe" mọi thứ mà bạn gửi không phải là TLS và bạn không có cách nào ngăn chặn chúng mà không sử dụng sơ đồ ủy quyền an toàn để vượt qua. (Giống như Tor! ... Rất tiếc.) Không chỉ là bảo mật không dây mà tôi đang nói đến (mặc dù nếu họ không sử dụng mã hóa đúng cách, cookie của bạn cũng có thể gặp nguy hiểm từ bất kỳ ai có máy tính xách tay trong cùng phòng như bạn). Đó là cơ sở của chính nó. Có lẽ nhân viên bàn khách sạn của bạn tình cờ hiểu biết về công nghệ và muốn nghe lén giao thông Internet tại khách sạn anh ta làm việc; Làm thế nào để bạn ngăn chặn anh ta?

Bạn cũng có thể giải quyết vấn đề này trong Linux, nhưng nó đòi hỏi phải bỏ ra một ít tiền mặt cho ai đó để mua cái được gọi là máy chủ đường hầm SSH . Đó là một proxy từ xa mà bạn điều khiển có (hy vọng) kết nối Internet an toàn hơn so với các chuyến đi không dây hàng ngày của bạn; bạn kết nối với nó thông qua một kết nối được mã hóa. Nó vẫn phụ thuộc vào phần còn lại của Internet để bảo mật, nhưng môi trường xung quanh ngay lập tức của bạn có thể không an toàn. Bằng cách thiết lập một ~/.ssh/authorized_keystệp trên máy chủ đó, bạn có thể khiến đường hầm hoạt động mà không cần cung cấp mật khẩu, mặc dù bạn có thể muốn (hoặc phải) thiết lập một tập lệnh shell để thêm tệp này vào firefox theo mặc định.

Một cách bạn có thể thực hiện điều này ...

1. Tạo một tài khoản người dùng mới và đặt mật khẩu
2. Đăng nhập vào tài khoản đó và cài đặt Chrome hoặc chạy Firefox để tạo thư mục% Appdata%
3. Mã hóa thư mục% AppData% bằng EFS (Nhấp chuột phải -> Thuộc tính -> Nâng cao -> Mã hóa ...)
4. Chuyển sang tài khoản chính của bạn Giữ Shift và nhấp chuột phải vào phím tắt trình duyệt của bạn và chọn "Chạy với tư cách người dùng khác"
5. Nhập thông tin đăng nhập tài khoản mới và nhấp vào ok

Bây giờ bạn đang chạy trình duyệt với tư cách là một người dùng khác và các tệp đó được mã hóa để chỉ người dùng / ứng dụng có thể đọc chúng.

Đối với Chrome, bạn sẽ cần chỉnh sửa lối tắt để mở Chrome được cài đặt trong tài khoản trình duyệt.

Bạn cũng sẽ cần thay đổi thư mục tải xuống cho người dùng chính của mình và cho phép người dùng trình duyệt trên thư mục đó hoặc bạn có thể đặt nó vào thư mục chung và thêm thư mục chung đó làm thư viện.

Chỉnh sửa: Chỉ cần thử nghiệm nó trong máy ảo với Firefox và Chrome ... Firefox đã hoạt động nhưng Chrome gặp sự cố. Nó có thể là do hộp cát mà nó sử dụng nhưng tôi không chắc chắn và có lẽ có một công việc đơn giản xung quanh.

Edit2: Yea nó là hộp cát. Nếu bạn thêm --no-sandbox vào phím tắt, nó sẽ hoạt động: \ Nếu bạn có hộp cát, bạn có thể đặt Chrome bị buộc vào hộp cát được mã hóa bởi người dùng trình duyệt.

Hầu hết các hệ điều hành hiện đại đều hỗ trợ một mô hình bảo mật gọi là " Điều khiển truy cập bắt buộc " có thể dễ dàng đạt được những gì bạn muốn, nhưng kiến ​​thức cần thiết để định cấu hình chính xác các chính sách kiểm soát truy cập rất khó học.

Một giải pháp đơn giản hơn trên Windows là sử dụng hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) hiện được bao gồm trong nhiều phần mềm chống vi-rút. Chúng thường sẽ cho phép bạn đặt quy tắc cho từng ứng dụng mà tài nguyên có thể truy cập. Chỉ cần đặt thư mục cookie của bạn vào danh sách các tệp được bảo vệ (hoặc các tệp riêng tư hoặc bất cứ thứ gì chúng được gọi trong phần mềm A / V của bạn) và chỉ cho phép IE truy cập chúng. Một số sản phẩm chống vi-rút không có quyền bảo vệ đọc lại quyền truy cập, trong trường hợp đó, bạn có thể phải quay lại để tạo người dùng chỉ để truy cập ứng dụng đó (IE).

Tuy nhiên, nếu bạn muốn vượt qua rắc rối, bạn có thể chạy IE trong hộp cát.

Tự động làm trống các tệp Internet tạm thời có thể giúp ích, nếu bạn sử dụng Internet Explorer.

Nếu bạn muốn giữ cookie, chỉ cần mã hóa các đĩa, loại bỏ các chia sẻ quản trị và hạn chế quyền truy cập vào các thư mục mà bạn muốn bảo vệ. Sử dụng kết hợp Win + L, gán mật khẩu khi máy tính quay lại từ trình bảo vệ màn hình. Đó là những gì tôi làm.

• BitLocker
• TrueCyrpt