Scorpion8741
- 6 Followers
- 50 Following
- 24 Posts
alip@chiefbongo Das heißt noch lange nicht, dass sie Play Services benötigen. Ich glaube du hast ein falsches Verständnis von der Thematik.
GrapheneOS ist von den zukünftigen Einschränkungen nicht direkt betroffen.
#Sydbox 3.51.0 is out: #Security update fixing multiple Crypt Sandboxing race conditions, an ioctl(2) truncation bypass, and a MIPS ptrace(2) bug. Force Sandboxing now uses the Kernel Crypto API (AF_ALG) for zero-copy hashing. #Landlock sandboxing is on by default. wordexp(3) confinement hardened. pandora 0.20.0 generates #Landlock rules. Sydbox is a rock solid application #kernel to sandbox applications on #Linux: https://gitlab.exherbo.org/sydbox/sydbox/-/blob/main/ChangeLog.md?ref_type=heads#3510 #exherbo
@syt @christopherkunz @kuketzblog Ich meine speziell diese Folge. Für eine generelle Meinung habe ich noch nicht genügend Folgen gehört. Muss gestehen, dass ich im Bereich Android-Sicherheit einiges an Kenntnis habe und mir es deshalb schnell auffällt, wenn eher die leicht verständlicheren Features erwähnt werden. Dabei sind es gerade die zahlreichen Sicherheitsverbesserungen, die GrapheneOS so einzigartig machen.
Dass für das ein oder andere auch die Zeit gefehlt hat verstehe ich. Vielleicht gibt es ja irgendwann noch eine weitere Folge zum Thema.
@christopherkunz @kuketzblog @syt Gute Folge. Kleiner Verbesserungswunsch: Ich würde mir mehr technische Tiefe im Podcast wünschen.
@kuketzblog Die Prozedur ist zum Glück nur einmalig notwendig. Bei weiteren Apps ist eine Wartezeit/Reboot nicht notwendig.
@mo3hr3 @kuketzblog Damit verzichtest du auf Sicherheitsfeatures, die selbst vor 10 Jahren schon in anderen Browsern waren. Brave, Vanadium oder Cromite wären die bessere Wahl.
@kuketzblog Site Isolation von FF unter Android ist zurzeit mehr Marketing. Site Isolation benötigt nicht nur eine Multi-Prozess-Architektur, sondern auch ein Sandboxing der Renderer-Prozesse um die Separierung auch im Kompromittierungs-Fall aufrechtzuerhalten. Das sehe ich nicht gegeben. Es gibt seit Jahren bekannte, ungefixte Cross-Site Leaks in FF, es wird kein isolatedProcess verwendet und Namespaces stehen nicht zur Verfügung unter Android. Der Seccomp-Filter sieht mehr nach Angriffsflächenreduktion als Sandboxing aus. Mit der Site Isolation, die Chromium verwendet hat das nicht viel zu tun.
@kuketzblog Ich hätte mir ein Abraten von Firefox unter Android gewünscht. Es wird immer noch kein `isolatedProcess` verwendet, die Exploit Mitigations sind nicht auf Höhe von Chromium. Es gäbe eine ganze Reihe weiterer Kritikpunkte. Wenn Sicherheitsfeatures die schon seit 10 Jahren in Chromium sind, immer noch nicht in FF sind, sollte das sehr zu bedenken geben.
DuckDuckGo unter Android ist WebView-basiert, d.h. es hängt auch davon ab, welches WebView dein Android. Zudem bietet WebView keine Site Isolation. Ich würde stattdessen zu einem vollen Chromium-basierten Browser raten.