Bagaimana mencegah tangan kotor menyentuh cookie saya?

8

Menurut pertanyaan saya yang lain , sepertinya cookie saya tidak terlindungi. (Saya seharusnya tahu bahwa ada waktu saya hanya menghapus cookie secara manual dari Internet Temporary Files.)

Jadi untuk membuat pertanyaan saya sedikit lebih umum:

Bagaimana mencegah program di komputer saya mengakses beberapa sumber daya di komputer saya?

Atau sebaliknya:

Bagaimana cara membuka akses beberapa sumber daya hanya ke program yang dipilih?

Atau permintaan yang tampaknya tidak praktis:

Bagaimana cara membuat program meminta izin ketika mereka ingin mengakses sumber daya tertentu?

Meskipun Windows 7 membuat aturan untuk meminta hak administratif ketika perubahan dibuat untuk file sistem. Namun, akses ke sumber daya (maksud saya, lihat saja) terbuka untuk semua program.

Mesin virtual tampaknya menjadi pilihan, tetapi program-program yang diisolasi oleh mesin virtual tidak memiliki kesempatan untuk melihat sumber daya dari sistem luar (host), yang tampaknya tidak disukai.

Saya menggunakan Windows 7 sekarang, tetapi solusi pada OS apa pun disambut.

windows-7  privileges 
Komunitas
sumber

Jawaban:

7

Baiklah, izinkan saya menjawab satu bagian dari pertanyaan Anda yang lebih luas terlebih dahulu: bagaimana cara melakukannya . Pengalaman langsung saya adalah di Linux, tetapi Anda mengatakan bahwa jawaban pada platform apa pun diterima, jadi begini. Jika Anda menggunakan Linux, Anda mungkin memerlukan akses root untuk mengakses cookie Anda dengan cara apa pun selain (pada prinsipnya) menghapusnya. Prosedur umum akan terlihat seperti ini:

  1. Ubah izin file sehingga pengguna lain tidak dapat membacanya. chmod 600 <file>harus berfungsi sebagai mode yang tepat untuk ini.
  2. Uji untuk memastikan bahwa peramban Anda tidak melanggar izin tersebut secara tidak sengaja.
  3. Buat akun pengguna baru untuk browser Anda. Sebut saja foxydemi argumen.
  4. Ubah kepemilikan file cookie browser menjadi foxy, serta apa pun yang mungkin perlu ditulis oleh browser. (Benar-benar semua yang ada di direktori pengguna browser pada prinsipnya dapat terpengaruh.)
  5. Uji untuk memastikan bahwa browser Anda masih tahu di mana cookie disimpan ketika dijalankan sebagai foxy. Jika perlu, berikan foxydirektori home khusus untuk hal-hal seperti itu.
  6. Gunakan visudountuk memberi diri Anda izin, tetapi hanya ketika menjalankan peramban Anda, untuk mengubah pengguna ke foxyGaris di file sudoers akan terlihat seperti <your user name> ALL = (foxy) NOPASSWD: /usr/bin/firefox. Ini akan menjamin bahwa Anda hanya memiliki izin untuk menjalankan program khusus ini sebagai pengguna foxy.
  7. Tulis skrip shell yang menjalankan browser Anda dengan nama pengguna yang diberikan, sehingga Anda dapat mereparasi file .desktop dari tautan yang Anda gunakan untuk membuka browser. Katakanlah Anda menaruhnya di /usr/local/bin/browse; mungkin hanya berisi (setelah hash-bang line) sudo -u foxy /usr/bin/firefoxatau lebih.

Bagian yang Linux lakukan dengan sangat baik adalah dalam jenis opsi tambahan ini. Saya tidak tahu banyak tentang Windows 7, tetapi saya akan sedikit terkejut jika bisa melakukan hal yang sama - jika memiliki sistem pengguna pengganti yang dapat membatasi pengguna yang Anda gantikan berdasarkan nama yang dapat dieksekusi. (Perhatikan bahwa jika saya memberikan izin sewenang-wenang kepada saya untuk menggantikannya foxy, ini tidak akan menghentikan penyerang yang berdedikasi; mereka hanya akan mengganti perintah sewenang-wenang untuk membacakan cookie sebagai foxy.

Sekarang saya jelaskan mengapa mungkin ini pertanyaan yang salah. Gmail kebetulan memiliki opsi bagus yang memaksa Anda untuk hanya mengirim cookie Anda melalui TLS / SSL (koneksi penelusuran aman). Sebagian besar layanan berbasis login tidak . Ini berarti bahwa cookie Anda pada prinsipnya dapat dilihat oleh seluruh infrastruktur Internet. Anehnya, infrastruktur itu telah terbukti cukup pasif dan umumnya tidak akan menyerang Anda kecuali mungkin menyensor Anda, meskipun ada bagian Internet seperti Tor di mana aturan ini benar-benar rusak.

Namun, ini masih menjadi masalah ketika, katakanlah, Anda menggunakan koneksi WiFi orang lain. Mereka dapat "mendengar" segala sesuatu yang Anda kirim yang bukan TLS, dan Anda tidak memiliki cara untuk menghentikannya tanpa, katakanlah, menggunakan skema proxy yang aman untuk melewati. (Seperti Tor! ... whoops.) Bukan hanya keamanan nirkabel yang saya bicarakan (meskipun jika mereka tidak menggunakan enkripsi yang tepat, cookie Anda mungkin juga dalam bahaya dari siapa pun yang memiliki laptop di ruangan yang sama) seperti kamu). Itu adalah pendirian itu sendiri. Mungkin petugas meja hotel Anda secara teknologi cerdas dan ingin menguping lalu lintas Internet di hotel tempat ia bekerja; bagaimana kamu menghentikannya?

Anda juga bisa menyelesaikan ini di Linux, tetapi membutuhkan mengeluarkan sedikit uang kepada seseorang untuk membeli apa yang disebut server terowongan SSH . Ini adalah proxy jarak jauh yang Anda kontrol yang (mudah-mudahan) memiliki koneksi internet yang lebih aman daripada perjalanan nirkabel sehari-hari Anda; Anda terhubung ke sana melalui koneksi terenkripsi. Itu masih tergantung pada sisa Internet untuk menjadi aman, tetapi lingkungan sekitar Anda dapat menjadi tidak aman. Dengan mengatur ~/.ssh/authorized_keysfile di server itu, Anda bisa membuat terowongan berfungsi tanpa memberikan kata sandi, meskipun Anda mungkin ingin (atau harus) mengatur skrip shell untuk menambahkan ini ke firefox secara default, seperti sebelumnya.

CR Drost
sumber
Di windows 'runas' mungkin menjadi bagian dari solusi untuk menjalankan pengguna alternatif, serta penggunaan yang tepat dari NTFS ACL
Journeyman Geek
1

Salah satu cara Anda dapat mencapai ini ...

  1. Buat akun pengguna baru dan tetapkan kata sandi
  2. Masuk ke akun itu dan instal Chrome atau jalankan Firefox untuk membuat folder% Appdata%
  3. Enkripsi folder% AppData% itu menggunakan EFS (Klik Kanan -> Properti -> Lanjutan -> Enkripsi ...)
  4. Beralih ke akun utama Anda, Tahan Shift dan Klik kanan pada pintasan browser Anda dan pilih "Run as different user"
  5. Masukkan kredensial akun baru dan klik ok

Anda sekarang menjalankan browser sebagai pengguna yang berbeda dan file-file itu dienkripsi sehingga hanya pengguna / aplikasi yang dapat membacanya.

Untuk Chrome, Anda perlu mengedit pintasan untuk membuka Chrome yang terpasang di akun browser.

Anda juga perlu mengubah direktori unduhan menjadi pengguna utama dan memberikan izin pengguna browser pada direktori itu atau Anda dapat mengaturnya ke folder publik dan menambahkan folder publik itu sebagai perpustakaan.

Sunting: Baru saja mengujinya di VM dengan Firefox dan Chrome ... Firefox berfungsi tetapi Chrome mogok. Mungkin karena kotak pasir yang digunakannya tetapi saya tidak yakin dan mungkin ada pekerjaan sederhana di sekitar.

Sunting2: Ya itu kotak pasir. Jika Anda menambahkan --no-sandbox ke pintasan itu akan berfungsi: \ Jika Anda memiliki sandboxie Anda dapat mengatur Chrome untuk dipaksa menjadi kotak pasir yang dienkripsi oleh pengguna browser.

Riguez
sumber
Menjalankan dengan kredensial berbeda mungkin membantu. Chrome mungkin tidak mulai sebagai pengguna yang berbeda karena ia menginstal sendiri untuk pengguna saat ini dan akun lain tidak dapat menjalankan / mengaksesnya.
Nime Cloud
0

Sebagian besar OS modern mendukung model keamanan yang disebut " Kontrol akses wajib " yang dapat dengan mudah mencapai apa yang Anda inginkan, tetapi pengetahuan yang diperlukan untuk mengonfigurasi kebijakan kontrol akses dengan benar sulit dipelajari.

Solusi yang lebih sederhana pada Windows adalah dengan menggunakan sistem deteksi intrusi berbasis-host (HIDS) yang sekarang termasuk dalam banyak perangkat lunak antivirus. Mereka biasanya akan memungkinkan Anda untuk menetapkan aturan untuk setiap aplikasi di mana sumber daya itu dapat diakses. Cukup masukkan folder cookie Anda ke daftar file yang dilindungi (atau file pribadi, atau apa pun namanya dalam perangkat lunak A / V Anda) dan hanya izinkan IE untuk mengaksesnya. Beberapa produk anti-virus tidak memiliki perlindungan lagi akses baca, dalam hal ini, Anda mungkin harus kembali membuat pengguna hanya untuk mengakses aplikasi itu (IE).

Namun, jika Anda ingin melalui masalah, Anda dapat menjalankan IE di kotak pasir.

billc.cn
sumber
0

Mengosongkan Berkas Internet Sementara secara otomatis mungkin membantu, jika Anda menggunakan Internet Explorer.

Jika Anda ingin menyimpan cookie, cukup enkripsi disk, hapus share -hidden- administratif dan batasi akses ke folder tempat Anda ingin melindungi. Gunakan kombinasi Win + L, tetapkan kata sandi saat komputer kembali dari screensaver. Itu yang saya lakukan.

Nime Cloud
sumber
Dengan membatasi akses , bagaimana caranya? Bagaimanapun, setiap program di komputer memiliki hak yang sama dengan saya.
Klik kanan folder mana saja> pilih Properti. Kotak dialog akan terbuka. Klik tab keamanan, atur izin. PS: Anda dapat mengatur izin pada drive yang diformat NTFS. Banyak hard disk diformat NTFS. Banyak drive portabel - termasuk kartu memori & memori USB - tidak.
Nime Cloud
1
@Nime Cloud: dia ingin melindungi file-nya dari suatu program , bukan dari pengguna . Apa yang Anda gambarkan hanya memungkinkan pengaturan ACL tergantung pada pengguna yang login. Salah satu opsi mungkin untuk menjalankan program yang Anda pilih sebagai pengguna yang berbeda, dan memodifikasi ACL file yang sesuai. Namun saya mencium masalah arsitektur dan penyebab yang hilang.
Jürgen Strobel
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.