ce qui est vraiment prioritaire, c'est d'empêcher le navigateur de pouvoir faire trop de choses.
Sous OpenBSD, avec unveil on s'assure que le navigateur ne peut accéder qu'à ~/Downloads et son cache, ce qui limite pas mal les dégâts
Sous linux il y a firejail qui peut faire tourner firefox (entre autres) dans une jail. En paramétrant un peu on peut également avoir un répertoire de "downloads" persistent. En plus c'est facile à mettre en œuvre.
Je cite:
Firejail est un programme SUID qui réduit le risque de failles de sécurité en limitant l'environnement d'exécution des applications non fiables en utilisant les espaces de noms Linux et seccomp-bpf. Il permet à un processus et à tous ses descendants d'avoir leur propre vue privée des ressources du noyau globalement partagées, telles que la pile réseau, la table de processus, la "table de montage" (mount table).
[^] # Re: Manqué
Posté par Denis BRAUSSEN . En réponse au lien Linux et la sécurité, tel un désert et un oasis ?. Évalué à 5. Dernière modification le 10 février 2021 à 21:38.
Sous linux il y a firejail qui peut faire tourner firefox (entre autres) dans une jail. En paramétrant un peu on peut également avoir un répertoire de "downloads" persistent. En plus c'est facile à mettre en œuvre.
Je cite:
Firejail est un programme SUID qui réduit le risque de failles de sécurité en limitant l'environnement d'exécution des applications non fiables en utilisant les espaces de noms Linux et seccomp-bpf. Il permet à un processus et à tous ses descendants d'avoir leur propre vue privée des ressources du noyau globalement partagées, telles que la pile réseau, la table de processus, la "table de montage" (mount table).