Ich starte mein Firefox-Defaultprofil grundsätzlich unter firejail (über das tool firetools).
Von dort starte ich dann die anderen Profile, die ich benötige, über die Seite "about:profiles". Das ist bequem, hat aber den Nachteil, dass dann alle Profile in EINER Sandbox laufen. Das ist wahrscheinlich nicht im Sinne des Erfinders.
Wenn ich das nicht will, muss ich jedes Profil einzeln über firejail starten. Das ist eher umständlich.
Nun frage ich mich: sind die FF-Profile schon per FF so stark separiert, dass ich sie getrost in einem Sandkasten laufen lassen kann? Oder soll ich sie mit firejail separieren?
Zitat von: xanthippe am 22.01.2024, 18:28Oder soll ich sie mit firejail separieren?
Manuell separieren ist wahrscheinlich der bessere Weg.
Die FF-Profile selber sollten aber auch schon ihre Alleinstellungsmerkmale mitbringen. Ob es dazu überhaupt irgendwo eine Dokumentation gibt? ::)
Ich denke, das kommt darauf an was man will, Sicherheit oder Datenschutz?
In punkto Sicherheit ist bestimmt das Separieren in verschiedene Sandboxen besser.
Bezüglich Datenschutz kommt es darauf an, ob die unterschiedlichen Profile auch wirklich unterschiedlich sind, da gibt es doch auch diverse Dienste, die prüfen ob ein Browser beim Besuch identifizierbar ist oder in der Masse untergeht. Mir fällt gerade nur keiner ein, sonst würde ich ihn hier verlinken.
Das Gleiche könnte dann auch mit unterschiedlichen Containern (Umgebungen) innerhalb eines
Profils getestet werden.
Zitat von: duda am 22.01.2024, 18:58Manuell separieren ist wahrscheinlich der bessere Weg.
Zitat von: Junge Oma am 24.01.2024, 22:05In punkto Sicherheit ist bestimmt das Separieren in verschiedene Sandboxen besser.
Ich würde gerne verstehen, warum. :-[
Firefox selbst hat eine Sandbox, wenn du diese für ausreichend hältst, kannst du deine Profile in der selben externen Sandbox (z.B. firejail) laufen lassen.
Nur wenn dann eben aus dieser Sandbox von Firefox ausgebrochen wird, kann auch auf die anderen Profile zugegriffen werden, ohne aus deiner externen Sandbox auszubrechen.
Da gibt es dann keine weiteren, an das Betriebssystem delegierte Aufgaben, den Zugriff auf die anderen Profile zu blockieren.
Falls du in diesen anderen Profilen aber keine Daten auf der Festplatte speichern lässt (cookies, etc.) sehe Ich die Gefahr nur in Änderungen an der Konfiguration der anderen Profile. Das kann aber ebenfalls die Sicherheit - bei weiterer Nutzung der Profil nach einer Kompromittierung (die sehr wahrscheinlich ist) - erheblich beeinträchtigen.
Ich denke, da du firejail verwendest, vertraust du der Sandbox vom Firefox nicht vollständig, oder aber vertraust der Ansicht einer Person, dass du Firejail mit Firefox verwenden solltest.
Das alles zusammen sollte glaube Ich schon hilfreich genug sein, damit du selbst einschätzen kannst was für dich richtig ist, oder?
Eine tiefgreifende Erklärung, warum die Sandbox vom Firefox oder die von Firejail "besser" sein soll, kann Ich dir leider nicht bieten.
Firefox selbst isoliert vorallem seinen eigenen, direkt angreifbaren Code, als auch unvertrauenswürdigen Code aus dem Internet (JavaScript, ...), und ein wenig darüber hinaus.
Firejail bietet jedoch erheblich mehr Optionen, und isoliert Firefox über sich selbst hinaus vom Rest des Systems, und kann das damit auch mit/von anderen isolierten Instanzen von Firefox tun.
Dabei sollte bei deinen Fall, wenn du Firejail zum isolieren der Profile nutzen willst, dann für die anderen Profile ein eigener Ordner mit der Option "private" verwendet werden, da andernfalls ein Zugriff auf die Profile möglich ist.
Z.B. im Ordner FF_Banking im Ordner Jail, innerhalb des Benutzerordners.
firejail --private=~/Jail/FF_Banking /usr/lib/firefox-esr/firefox-esr --no-remoteKann man auch als Programmstarter einrichten.
Theoretisch ist beim Standardprofil von Firejail, für den Firefox, eine Kommunikation zwischen mehreren, gleichzeitig laufenden Instanzen des Browsers über DBUS möglich.
Wahrscheinlich wird das durch --no-remote als Option aber ausreichend seitens Firefox abgeschaltet. Welche Möglichkeiten sich ansonsten darüber bieten weiß Ich nicht, da es keine Rolle für mich spielt (Ich nutze nicht mehrere Firefox Profile gleichzeitig, ebenso kein dbus).
Astolfo:
Danke für die tolle Aufdröselung! 8)
Vielen Dank für die Denkanstöße!
Ich muss mich wohl noch tiefer damit befassen. ::)
Ich habe immer mehrere Profile gleichzeitig offen, weil ich z.B. Seiten, die ich zum ersten mal besuche, grundsätzlich im strengsten Profil aufrufe (Kommentar eines Freundes: "Wieso sind bei dir immer alle Seiten weiß?"), die vertrauten und geprüften Seiten aber in einem Profil ohne AddOns, nur mit user.js.
Zitat von: xanthippe am 27.01.2024, 14:11, weil ich z.B. Seiten, die ich zum ersten mal besuche, grundsätzlich im strengsten Profil aufrufe
Bei solchen Seiten nehme ich grundsätzlich den Tor Browser. So wird parallel auch meine "Herkunft" (bspw. echte deutsche IP-Adresse) verschleiert.
Wie kannst du mehrere Profile gleichzeitig offen haben? ??? Lässt sich ein und derselbe Firefox (in meinem Fall Firefox ESR) unter Verwendung unterschiedlicher Profile tatsächlich mehrfach öffnen? Das habe ich noch nie ausprobiert. ::)
Auf der Kommandezeile "Firefox /P" (oder als Verknüpfung anlegen) startet den Profilmanager:
So starte ich immer. :-[ Mir war oder ist nur nicht klar, wie ich so mehrere Profile gleichzeitig starten kann (denn der Profilmanager lässt sich per Verknüpfung jeweils nur einmal starten).
Also Voraussetzung ist erstmal, daß Du ein weiteres als das laufende Profil hast. Ansonsten müsstest Du es dort eben auch erstmal erstellen.
Wenn Du das (nicht laufende) im Profilmanager auswählst und auf "Firefox starten" klickst, sollte sich das öffnen.
Klappt bei mir schon immer, seit ich den Profilmanager kenne.
Allerdings habe ich das noch nicht unter Linux ausprobiert. Das müsste nun aber mal bitte jemand anders ausprobieren (oder es dauert vielleicht bis morgen oder so), weil ich gerade nicht neu booten möchte.
Zitat von: Bit am 28.01.2024, 18:32Allerdings habe ich das noch nicht unter Linux ausprobiert.
Der Profilmanager lässt sich (hier unter MX-21.3 "Wildflower") nur mittels Befehlszeile ("firefox /p") mehrfach starten. Sodann kann ich natürlich auch wahlweise unterschiedliche Profile ansprechen und starten. Bei mir sind es aktuell insgesamt 7 unterschiedliche Profile (4 zum Firefox ESR und 3 zum Firefox Release).
Und Du kannst nicht das, was Du in die Befehlszeile tippst einer neuen Verknüpfung übergeben, die Du dann später immer einfach anklicken kannst? Das finde ich seltsam.
Aber wie gesagt, auch unter LMDE habe ich manuell noch keine Verknüpfungen erstellt ...
Zitat von: Bit am 28.01.2024, 22:45Und Du kannst nicht das, was Du in die Befehlszeile tippst einer neuen Verknüpfung übergeben, die Du dann später immer einfach anklicken kannst?
Ich wüsste nicht wie. Den "Starter" kann ich bearbeiten und umstellen auf: "Im Terminal ausführen". Das ist dann im Ergebnis und im Alltagsgebrauch allerdings ziemlich unkomfortabel.
Spoiler
(https://lutim.ggc-project.de/NGTm9etc.png)
Zitat von: Bit am 28.01.2024, 18:32Allerdings habe ich das noch nicht unter Linux ausprobiert.
Das kostet mich schon wieder den letzten Nerv ...
Zitat von: duda am 28.01.2024, 20:35hier unter MX-21.3 "Wildflower"
Okay, wenn ich es sehe, zitiere ich es, aber erstmal nehme ich die Hinweise für LMDE, um sie nachvollziehen zu können ‒ oder eben nicht.
Ich kann von Desktop-Objekten (die muss man natürlich erstmal zugelassen haben!) oder Objekten in der Dateiverwaltung (bei mir Nemo) per Rechtsklick eine Verknüpfung anlegen (Bild).
Für den Screenshot habe ich Firefox (/usr/lib/firefox-esr/firefox-esr) auf den Desktop kopiert (Bild).
Aber: ich kann aus dem Startmenü einen zweiten Firefox starten, obwohl schon eine Instanz läuft!
Die zweite läuft quasi als zweites Fenster auf dem gleichen Profil. Das geht mehrfach.
Wenn ich dort über
about:profilesein weiteres Profil erstelle, kann ich das zusätzlich starten (Bild). So weit wie unter Windows.
Interessant sind dazu seine Eigenschaften (Bild): Das ist eine Textdatei! Ich habe ihm einen unterscheidbaren Namen und Beschreibung gegeben.
Nun also die Verknüpfung. Sehr schön finde ich, daß man aus dem Kontextmenü der Verknüpfung zum Original folgen kann, das ist bei Windows umständlicher.
Aber, wenn ich die Befehlszeile ändere, wird "/P" als Ziel übernommen, nicht gefunden und NewTab geöffnet. Und zwar unabhängig, ob ich die Variable (?) "%u" drin lasse, oder nicht. Wie die sich auswirkt, erkenne ich noch nicht.
Also, mir scheinen die Kommandosprachen zwischen Windows und Linux unterschiedlich und man müsste die entsprechende Linux-Übersetzung zum Windows-Ausdruck finden.
Zitat von: Bit am 29.01.2024, 20:18Aber, wenn ich die Befehlszeile ändere, wird "/P" als Ziel übernommen, nicht gefunden und NewTab geöffnet.
Wie Kommandozeilenoptionen zu verwenden sind hängt von der Anwendung selbst ab.
Interessant ist, dass /p vom Firefox auf Windows tatsächlich akzeptiert wird, Ich kenne die Variante hauptsächlich von alter Software aus dem Hause Microsoft, bei anderer ist mir das nie untergekommen. Find Ich gut. :D
Im Wiki von Mozilla (EN) (https://wiki.mozilla.org/Firefox/CommandLineOptions) selbst werden alle Optionen beginnend mit - angegeben.
Schlussfolgernd sollte das alles eigentlich klappen, wenn man -p verwendet.
Wenn man nicht möchte, dass eine bereits offene Instanz vom Firefox verwendet wird, wenn man ein bereits genutztes Profil verwendet, kann man auch die Option --no-remote verwenden. Das verhindert, dass andere Anwendungen einfach URLs in irgendeinen offenen(!) Firefox-Profil öffnen können. Das ist Standardmäßig der Fall, wenn eine URL an den Firefox übergeben wird.
Zitat von: Bit am 29.01.2024, 20:18[...] die Variable (?) "%u" [...] Wie die sich auswirkt, erkenne ich noch nicht.
Ein in der "Befehl:"-Zeile, oder der "Exec="-Zeile, wenn man den Starter im Texteditor öffnet, eingetragenes %u wird beim starten der ".desktop"-Datei/des Starters durch eine einzelne URL ersetzt.
Quelle: Spezifikation der .desktop Dateien, in der Tabelle auf freedesktop.org (EN) (https://specifications.freedesktop.org/desktop-entry-spec/desktop-entry-spec-latest.html#exec-variables).
Nach dieser Dokumentation könnte man das %u für Firefox auch durch %U ersetzen, dann können mehrere URLs gleichzeitig geöffnet werden, anstelle von nur einer. ::)
Also um die Problematik zu lösen:Im Ordner /usr/share/applications befindet sich der Systemweite "Starter" für Firefox.
ls /usr/share/applications/firefox*Diesen kann man im Benutzerordner in den Ordner ".local/share/applications" kopieren(!) - einfach den Ordner erstellen falls er noch nicht existiert.
Wenn dieser Starter im Benutzerordner den selben Namen hat wie jener im Systemweiten "applications"-Ordner, wird eben dieser verwendet.
Den kann man nun editieren: Endweder per "Starter bearbeiten" o.Ä., oder über einen Texteditor.
Dabei ändert man die "Befehl:" oder "Exec=" Zeile ab, und trägt dort nach der Firefox-Anwendung und vor dem "Felder-Code" %u/%U einfach die gewünschte Option -p ein:
/usr/lib/firefox-esr/firefox-esr -P %UHier wäre es eventuell noch eine gute Idee, in das "Name"-Feld noch ProfilManager hinten anzufügen.
Bei einer Bearbeitung mithilfe eines Texteditors muss man das bei eventuell lokalisierten Zeilen für die verwendeten Sprachen tun, oder diese alle löschen (dann wird die generelle Zeile ohne Sprachen-/Ländercode verwendet).
(Nur) viele Anwendungen starten URLs über den von einen als Standard gewählten Webbrowser-Starter, wenn man das also so einrichtet, kann man selber das gewünschte Profil auswählen, wenn eine andere Anwendung eine URL im Browser öffnet.
Eventuell muss man aber erst den Firefox als Standard-Handler für HTTP & HTTPS eintragen.
Am einfachsten geht das wohl über die Datei .config/mimeapps.list im Nutzerverzeichnis.
Hier muss in die Kategorie "[Default Applications]", welche nur einmal vorhanden sein darf/sollte, nur "x-scheme-handler/https=firefox-esr.desktop;" & "x-scheme-handler/https=firefox-esr.desktop;" eingetragen werden, jeweils auf einer neuen Zeile:
[Default Applications]
x-scheme-handler/http=firefox-esr.desktop;
x-scheme-handler/https=firefox-esr.desktop;Ebenfalls lässt sich der Starter auch unter anderen Namen speichern, mit z.B. einem Profilnamen im Feld Name, der Übersichtlichkeit halber, und der Kommandozeilenoption "-P Profilname", dann hat man einen Starter der z.B. "Firefox - Streng" heißt, und das Profil Streng (durch die Option: -P Streng) startet.
Was für ein Aufwand! :o
Hoffentlich hilft das duda (https://areac.de/index.php?action=profile;u=86).
Ansonsten müsste ja auch xanthippe (https://areac.de/index.php?action=profile;u=82) das irgendwie hinbekommen haben ... 8)
Da bin ich von Windows echt verwöhnt. ::)
Zitat von: Bit am 30.01.2024, 17:32Hoffentlich hilft das duda.
Ich brauche das eigentlich nicht, zumindest nicht so, wie es @ xanthippe gerne verwendet. Das Mehr-Browser-Prinzip ist für meine Zwecke ausreichend (Firefox Release, Firefox ESR, Librewolf, Mullvad Browser, Tor Browser, u.n.e.m.). Welches OS @ xanthippe verwendet, wurde nicht erwähnt? Oder? ::)
Zitat von: xanthippe am 22.01.2024, 18:28Ich starte mein Firefox-Defaultprofil grundsätzlich unter firejail (über das tool firetools).
Von dort starte ich dann die anderen Profile, die ich benötige
Zitat von: duda am 30.01.2024, 18:18Welches OS @ xanthippe verwendet, wurde nicht erwähnt? Oder? ::)
Ich wüsste nicht, daß es firejail (https://firejail.wordpress.com/download-2/) auch für Windows gibt.
Zitat von: duda am 30.01.2024, 18:18Ich brauche das eigentlich nicht, zumindest nicht so, wie es @ xanthippe gerne verwendet.
Und dafür der ganze Aufwand ... ::)
Zitat von: Bit am 30.01.2024, 18:44Und dafür der ganze Aufwand ...
Nun ja, dafür sind Foren doch da, oder?! Und selbstverständlich besteht meinerseits Interesse an dem Thema, und vielleicht interessiert dieses Thema auch den einen oder anderen Mitleser. ;D
Ich hatte irgendwie den Eindruck, Du würdest bedauern, daß es bei Dir nicht funktionierte.
Allein für die Allgemeinheit engagierte ich mich nur so, wenn ich fundiertes Wissen hätte. :)
Zitat von: Bit am 30.01.2024, 17:32Was für ein Aufwand! :o
Es ist nur die sauberste Variante, damit der Firefox-Starter für den Nutzer an allen Orten die gewünschte Option bietet, und alles übersichtlich bleibt. ;)
Reichen tut es auch, den Starter auf den Desktop zu kopieren, und dort -p in die Befehlszeile einzutragen.
Muss man eben immer diese Kopie oder eine Verknüfung zu dieser verwenden.
Oder gleich den Starter im Systemordner ändern, ähnlich wie bei Windows. Wird dann nur bei Aktualisierungen überschrieben. :P
Zitat von: duda am 30.01.2024, 18:59vielleicht interessiert dieses Thema auch den einen oder anderen Mitleser.
Ich hoffe es! Dafür ist mein Beitrag da.
Zitat von: Bit am 30.01.2024, 19:05Ich hatte irgendwie den Eindruck, Du würdest bedauern, daß es bei Dir nicht funktionierte.
Richtiger: Gewundert
Zitat von: duda am 28.01.2024, 11:00Bei solchen Seiten nehme ich grundsätzlich den Tor Browser.
Aber es geht mir ja nicht um die Verschleierung meiner IP sondern ich will sehen, was für third-party-Objekte sich so auf dieser Seite tummeln.
Zitat von: duda am 28.01.2024, 11:00Wie kannst du mehrere Profile gleichzeitig offen haben? ??? Lässt sich ein und derselbe Firefox (in meinem Fall Firefox ESR) unter Verwendung unterschiedlicher Profile tatsächlich mehrfach öffnen? Das habe ich noch nie ausprobiert. ::)
gehe im Firefox auf die Seite "about:profiles" (das ist der Profilmanager), da kannst du alle anderen Profile starten und in jedem Profil auch den Profilmanager. Läuft alles gleichzeitig, aber eben in EINER Sandbox.
Für jedes Profil einen eigenen Starter erstellen ist eine Möglichkeit. Ich glaube ich habe eine einfachere gefunden:
ich nutze ja das kleine Tool Firetools. Da sind Icons für den Start von mehreren Anwendungen vorgegeben:
(https://lutim.ggc-project.de/yud9lxFR.png)
Die Starter kann man dort editieren. 8) Und nun läuft jedes Profil in einer eigenen Sandbox:
(https://lutim.ggc-project.de/nM8lHFza.png)
Zitat von: xanthippe am 01.02.2024, 11:43..., da kannst du alle anderen Profile starten und in jedem Profil auch den Profilmanager. Läuft alles gleichzeitig, ...
So gehts bei mir (eben) nicht! Ist eine FF-Instanz aktiv (egal mit welchem Profil), lässt sich der Profilmanager mittels Verknüpfung in der Leiste oder auf dem Desktop
nicht erneut starten.
Ausnahme (1):
- mittels Kommandozeile (firefox /p) ist der Profilmanager mehrfach startbar
Ausnahme (2):
- es wird parallel ESR sowie Release verwendet
Zitat von: duda am 02.02.2024, 16:56So gehts bei mir (eben) nicht! Ist eine FF-Instanz aktiv (egal mit welchem Profil), lässt sich der Profilmanager mittels Verknüpfung in der Leiste oder auf dem Desktop nicht erneut starten.
Das hab ich auch nicht behauptet.
about:profiles ist mMn der Profilmanager (mit html-GUI). Von dort (nicht über den Desktop o.Ä.) kannst du andere Profile gleichzeitig laufen lassen und in diesen anderen Profilen wieder den PM (about:profiles) starten und gleichzeitig laufen lassen.
Geht das bei dir auch nicht? Ich kann mir nicht vorstellen, dass das vom Betriebssystem abhängt.
Zitat von: xanthippe am 02.02.2024, 19:04Geht das bei dir auch nicht? Ich kann mir nicht vorstellen, dass das vom Betriebssystem abhängt.
Was wir meinen, ist das Frontend in Windows, um direkt (ohne bereits laufenden Firefox) aus dem Profilmanager zu starten.
Das würde ich in Windows "Starter" nennen, es ist aber allgemein als "Profilmanager" bekannt und im Grunde nur eine Verknüpfung zum Firefox Basisprogramm (bei duda sind ESR und "Release" ja schon zwei verschiedene Programme), mit dem um das Attribut "/P" erweiterten Programmaufruf "Firefox", sogar ohne "exe".
Man kann damit immer das bevorzugte Profil starten, oder eben jedesmal auswählen, weitere Profile erzeugen oder vorhandene umbenennen.
Das macht natürlich nur Sinn, wenn man zuvor im Profilmanager mindestens ein weiteres Profil außer "default" angelegt hat und habe ich aber auch weiter oben erwähnt. In den Profilmanager unter "about:profiles" muss man dann nur noch schauen, wenn man die Speicherpfade braucht. Ansonsten wäre das (wie Du es offensichtlich machst) umständlicher.
Die Suche ging eben nun um die bequeme Lösung, wie man sie aus Windows kennt, guck:
Profilmanager.PNG
Zitat von: xanthippe am 02.02.2024, 19:04Geht das bei dir auch nicht?
Ich möchte natürlich nicht jedes Mal
about:profiles aufrufen müssen, nur um ein weiteres Profil starten zu können. Zudem ist dazu eine bereits laufende Instanz notwendig. Das erscheint mir irgendwie sinnfrei.
Zitat von: xanthippe am 02.02.2024, 19:04Ich kann mir nicht vorstellen, dass das vom Betriebssystem abhängt.
Woran sollte es denn sonst liegen?
Zitat von: xanthippe am 02.02.2024, 19:04about:profiles ist mMn der Profilmanager (mit html-GUI).
Ja, klar,
about:profiles könnte man auch als "Profilmanager" bezeichnen. Gemeint war und ist aber das vorgeschaltete Menü, wo ich die von mir eingerichteten Profile aufgelistet bekomme und (einzeln) zum Start auswählen kann. @ Bit hat es schon schön aufgedröselt.
Und bei mir siehts so aus:Screenshot
(https://lutim.ggc-project.de/Kqw2SKKd.png)
Zitat von: duda am 03.02.2024, 11:00Zitat von: xanthippe am 02.02.2024, 19:04Geht das bei dir auch nicht? Ich kann mir nicht vorstellen, dass das vom Betriebssystem abhängt.
Woran sollte es denn sonst liegen?
Der Profilmanager, wie ihn xanthippe beschreibt (https://areac.de/index.php?msg=2733), ist im Firefox festgelegt, eine interne Seite.
Aber die Bedienung von außerhalb, völlig unabhängig ob schon ein Firefox läuft, ist vom System abhängig.
Selbst wenn es grundsätzlich möglich ist, damit Firefox über den Profilmanager aufzurufen, hat doch jedes System seine eigenen Wege, Verknüpfungen zu organisieren, Befehlssyntax usw. ...
Was nun noch spannend wäre, ist, ob sich beide Fragen (von xanthippe und von duda ) miteinander kombinieren lassen.
Also:
• kann man mittels der zu Windows adäquaten Lösung, die Astolfo beschrieben hat (https://areac.de/index.php?msg=2720), auch in Firejail verschiedene Profile aufrufen und
•
kann man dabei festlegen, daß jedes Profil in einer eigenen Sandbox läuft, oder geht das nur mit separaten Feuerfüchsen?
Im letzten Fall bräuchte man natürlich gar keinen Profilmanager, startet dafür immer über das Firejail-Menü, wie es das Bild (https://lutim.ggc-project.de/yud9lxFR.png) von xanthippe zeigt.
Aber wie das Bild (https://lutim.ggc-project.de/Kqw2SKKd.png) von duda zeigt (https://areac.de/index.php?msg=2737), könnte man vielleicht trotzdem einen Gewinn durch die Einstiegsmethode "Starter" haben, um verschiedene selbstständige Feuerfüchse in eigenen Sandkästen starten zu können, statt nur eigene Profile desselben Programms.
Damit hätten wir auch wieder den Bogen zum Thema zurück.
Eigene Programme haben den Nachteil des Installations- und Updateaufwandes, aber den Vorteil, im Falle von Fehlern im Basisprogramm unabhängig Alternativen starten zu können (um zum Beispiel Lösungen zu finden).
Andererseits kann man die Profilmanager-Seite im Firefox auch als Lesezeichen anlegen:
Profilmanager als Lesezeichen.PNG
Irgendwie ist das nicht mehr meine Diskussion. :(
Ich wollte mit meinem Beitrag lediglich behutsam zum Thema dieses Threads zurückkommen, dem Starten verschiedener FF-Profile unter Firejail.
Falls das noch jemand interessiert, man kann auch neue Firetool-Starter über kleine Desktop-Dateien in "~/.config/firetools" anlegen.
Das sieht dann z.B. so aus:
[Desktop Entry]
Name=FF-moderat
Comment=FF moderat
Icon=Firefox
Exec=firejail firefox -p moderat-esr
So gestartete Profile laufen in getrennten Sandboxen.
Zitat von: xanthippe am 26.01.2024, 19:57Zitat von: duda am 22.01.2024, 18:58Manuell separieren ist wahrscheinlich der bessere Weg.
Zitat von: Junge Oma am 24.01.2024, 22:05In punkto Sicherheit ist bestimmt das Separieren in verschiedene Sandboxen besser.
Ich würde gerne verstehen, warum. :-[
Weil sich in einer gemeinsamen Sandbox die Einsitzenden gegenseitig befruchten könnten.
Ist wie im Knast: Isolationshaft ist sicherer.
Das hat Astolfo im vierten Beitrag (https://areac.de/index.php?msg=2700) schon relativiert:
Zitat von: Astolfo am 27.01.2024, 03:38Firefox selbst hat eine Sandbox, wenn du diese für ausreichend hältst, kannst du deine Profile in der selben externen Sandbox (z.B. firejail) laufen lassen.
Nur wenn dann eben aus dieser Sandbox von Firefox ausgebrochen wird, kann auch auf die anderen Profile zugegriffen werden, ohne aus deiner externen Sandbox auszubrechen.
Das ist doch eine sehr wesentliche Erkenntnis.
ZitatIch denke, da du firejail verwendest, vertraust du der Sandbox vom Firefox nicht vollständig, oder aber vertraust der Ansicht einer Person, dass du Firejail mit Firefox verwenden solltest.
Das alles zusammen sollte glaube Ich schon hilfreich genug sein, damit du selbst einschätzen kannst was für dich richtig ist, oder?
Eine tiefgreifende Erklärung, warum die Sandbox vom Firefox oder die von Firejail "besser" sein soll, kann Ich dir leider nicht bieten.
Firefox selbst isoliert vorallem seinen eigenen, direkt angreifbaren Code, als auch unvertrauenswürdigen Code aus dem Internet (JavaScript, ...), und ein wenig darüber hinaus.
Firejail bietet jedoch erheblich mehr Optionen, und isoliert Firefox über sich selbst hinaus vom Rest des Systems, und kann das damit auch mit/von anderen isolierten Instanzen von Firefox tun.
Dabei sollte bei deinen Fall, wenn du Firejail zum isolieren der Profile nutzen willst, dann für die anderen Profile ein eigener Ordner mit der Option "private" verwendet werden, da andernfalls ein Zugriff auf die Profile möglich ist.
Z.B. im Ordner FF_Banking im Ordner Jail, innerhalb des Benutzerordners.
firejail --private=~/Jail/FF_Banking /usr/lib/firefox-esr/firefox-esr --no-remoteKann man auch als Programmstarter einrichten.
Theoretisch ist beim Standardprofil von Firejail, für den Firefox, eine Kommunikation zwischen mehreren, gleichzeitig laufenden Instanzen des Browsers über DBUS möglich.
Wahrscheinlich wird das durch --no-remote als Option aber ausreichend seitens Firefox abgeschaltet. Welche Möglichkeiten sich ansonsten darüber bieten weiß Ich nicht, da es keine Rolle für mich spielt (Ich nutze nicht mehrere Firefox Profile gleichzeitig, ebenso kein dbus).
Also hast Du Deine Profile bereits in der (weniger sicheren) Sandbox und alles zusammen nochmal in der (sicheren) des Firejail.
Später hast Du in den Beiträgen #24 (https://areac.de/index.php?msg=2734) und #25 (https://areac.de/index.php?msg=2735) an duda vorbeigeredet, weil Du nicht wusstest, daß er von Windows sprach. Das habe ich anschließend (https://areac.de/index.php?msg=2736) aufzuklären versucht.
Schließlich habe ich mit meinem letzten Beitrag (https://areac.de/index.php?msg=2738) versucht, alles wieder zusammenzuführen und einen Überblick zu generieren.
Und jetzt hast Du nochmal eine Variante mit zusätzlichen Sandboxes für jedes Profil innerhalb des Firejails dargestellt (wenn ich das jetzt richtig verstanden habe):
Zitat von: xanthippe am 03.02.2024, 18:13So gestartete Profile laufen in getrennten Sandboxen.
Also laufen nun die Profile jeweils in ihrer Firefox-Sandbox, innerhalb einer Firejail-Sandbox, innerhalb der Gesamt-Sandbox des Firejails.
So kann doch dann kein Profil mehr, als sich selbst befruchten. Bist Du damit unzufrieden?
Wie hast Du denn nun zu der Entscheidung gefunden? Konnte Dich Astolfo überzeugen?
Warum ist das nun nicht mehr Deine Diskussion? Das kurze Abschweifen ins Windows-Parallel-Universum wurde doch abgeschlossen. ;D
Im Übrigen hast Du gar nicht erwähnt, daß es nur um Linux gehen sollte.
Zitat von: xanthippe am 03.02.2024, 18:13Irgendwie ist das nicht mehr meine Diskussion.
Sorry! :-[
Wie auch @ Bit wollte ich das Thema lediglich verstehen. Aber verärgern will dich hier sicherlich niemand, denke (hoffe) ich. ::)
Nun taucht (bei mir) ein weiteres Problem auf. Der Start eines ESR-Profiles mit dem Release macht das Profil für ESR unbrauchbar. Das war (ist) mir zwar bekannt, aber dass der Start per Kommandozeile (firefox p) automatisch (immer) das Release statt ESR verwendet und damit das ESR-Profil für ESR unbrauchbar macht, wusste ich nicht. Damit habe ich nun eins meiner ESR-Profile abgeschossen. >:(
Screenshot
(https://lutim.ggc-project.de/AnqBT5hm.png)
Das tut mir leid.
Wegen der häufigen Änderungen des Grund-Feuerfuchses in den letzten Jahren und der daraus folgenden Problemmeldungen, wenn die Nutzer unbedingt versuchten, ihre alten AddOns weiter zu benutzen, hat Mozilla vor einiger Zeit eine Versionsüberwachung eingebaut, die einfach auf den Zähler (z.B. 115) schaut und ein Zurückstufen einer bestehenden Installation verhindert, weil sie nur für die Zukunft (also höhere Versionsnummern) beliebige AddOns verhindern können, die dann einfach bei der Installation der neueren Version deaktiviert werden.
Ich denke, es gibt eine Möglichkeit, diese Überwachung abzuschalten, ähnlich wie auch die Wirkung von AddOns auf Mozilla- und vielleicht auch Systemseiten zu erlauben. Aber das weiß ich nicht auswendig, da musst Du recherchieren.
Ansonsten würde nur bleiben, die ältere Version neu zu installieren und ein eventuell vor der Fehlermeldung gesichertes Profil dort einzuspielen. Wenn die Fehlermeldung einmal ausgelöst wurde, hat man in diesem Profil nicht einmal die Möglichkeit, ein aktuelles Update anzuwenden, weil man ja nicht starten kann (außer mit einem komplett neuen Profil).
Oder vielleicht, cane zu fragen ...
@ Bit:
Danke für die tollen Tipps! Aber nein, so wichtig ist das betroffene Profil dann auch wieder nicht. Die Menge der dort gespeicherten Lesezeichen ist überschaubar. Außerdem kann ich es jederzeit noch mit dem Release statt dem ESR verwenden. Umbenannt habe ich es schon. Also alles gut - soweit. Seitens Mozilla doof, dass sich hausintern das offizielle "Rolling Release" und das - wohlgemerkt ebenso aktuelle - "Extented Support Release (ESR)" beißen.
(https://lutim.ggc-project.de/QkVrYlaQ.jpg)