Я пытаюсь настроить несколько «защищенных от идиота» браузерных песочниц, каждая из которых позволит одному пользователю войти на сайт одного банка, но больше ничего не делать.Это для домашнего использования.Предполагается, что пользователь не сможет случайно перейти на другие сайты в этом сеансе Firefox, что все загруженное остается безопасным (зашифрованным) и что проблемы с самим Firefox не нарушат эту настройку безопасности.
I 'мы решили попробовать firejail с firefox с --private-cache --private = secure-homedir (который зашифрован) и использовали расширение firefox uMatrix с добавленными правилами:
* * doc inherit (blocks all direct 1st party sites)
mybank.com * * allow
Это работает очень хорошо.Однако, в какой-то момент я случайно испортил часть профиля Firefox, и в результате Firefox все еще работал, даже если uMatrix был поврежден - позволяя сеансу Firefox просматривать в любом месте.Это не событие по укреплению доверия.
Итак, я бы вместо этого хотел использовать firenet - iffilter = iptablesfile, args ..., чтобы делать то, что было сделано uMatrix, только более безопасным способом.Сначала я настроил файл iptables, чтобы разрешить только исходящий HTTPS-трафик и только для mybank.com, разрешить DNS и связанный с ним, установленный другой трафик.Возможно, это не удается, потому что сайт mybank.com «ссылается» на сторонние сайты (некоторые из которых, по-видимому, даже не HTTPS), без которых его собственный веб-сайт не очень удобен.Как мне настроить файл iptables, который будет разрешать трафик "реферера" только от mybank.com?
Я также пытался использовать хром с его скрытой опцией --host-rules:
chromium --host-rules="MAP * ~NOTFOUND, EXCLUDE mybank.com, EXCLUDE *.mybank.com"
Опять же, это работает довольно хорошо.Но хром не огненная тюрьма так хорошо, как Firefox.Самое главное, что опция --host-rules не задокументирована и (как и другие недокументированные ключи) может исчезнуть, и chromium работает просто отлично, если задана опция командной строки, которую он не понимает (!).Это даже менее безопасно, чем моя первоначальная установка firefox / uMatrix.
Я открыт для более отказоустойчивых альтернатив, которые может предложить любой ...