wa11ed.city [ a / bb / cyb / media / r / meta捐赠 FAQ 

/cyb/ - 赛博空间

And where does the newborn go from here? The Net is vast and infinite.
昵称
电子邮件
主题
评论
文件
密码 (用于删除文件)

File: 1542848454432-0.png (22.18 KB, 496x686)

File: 1542848497223-1.png (27.37 KB, 700x649)

 No.279

根据[url=https://www.chromium.org/developers/design-documents/multi-process-architecture]Chromium官方博客[/url]: 每一个Render都是一个单独的进程。这点,也可以用Task Manager看出来。
但是, chromium fork出来的进程都在当前用户下,即使render process并没有读写硬盘的需求。
那么有什么办法将 render process 关进OS级沙箱呢? 比如单独创建一个用户给render process享用,又或者用SELinux封死Render Process对硬盘的读写权限,甚至直接给render process单独开一个namespace!
毕竟Browser这个东西是纯天然的RCE……


[返回][返回顶部] [Catalog] [Post a Reply]
删除帖子 [ ]
[ a / bb / cyb / media / r / meta ]