Ubuntu-fr

Coeur Noir

Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Hello,

suite à cette remarque de geole https://forum.ubuntu-fr.org/viewtopic.p … #p22511893 concernant le fonctionnement de Firefox en snap, j'étais sceptique :
via FF il accède à /tmp, il accède à un dossier à la racine du système, alors que normalement un snap - à priori confiné - n'accède pas à la racine du système.
Sinon à quoi ça sert le confinement ?

Du coup j'installe ce maudit snap :

django@ASGARD:~$ snap list --all
Nom                      Version                     Révision  Suivi            Éditeur       Notes
(…)
firefox                  94.0.2-2                    731       latest/stable    mozilla✓      -
(…)
ubuntu-budgie-welcome    0.16.3                      344       latest/stable/…  ubuntubudgie  classic
django@ASGARD:~$

On voit bien qu'il n'est pas installé en mode « classic » c.à.d à l'ancienne, sans confinement.

Et effectivement sans rien faire de plus, je constate que FF accède à /tmp et n'importe quoi d'autre à la racine, dans la limite des droits et permissions des fichiers~dossiers en question.
D'un certain point de vue c'est pratique, au moins certaines extensions ne cesseront pas de fonctionner…

Et ce n'est que moyennement étonnant puisque

entouré à droite il y a un « allow access to system files or directories » activé par défaut.
À gauche, une remarque étonnante aussi - à vérifier - à propos d'Apparmor.

Bref ça m'intrigue. Je vais naïvement questionner sur le snapforum ( https://forum.snapcraft.io/t/firefox-94 … ined/27799 ) en attendant qu'en pensez-vous ( de cette idée, ici, de fournir un navigateur web en snap tout en lui donnant accès à tout le système par défaut ) ?

Dernière modification par Coeur Noir (Le 06/12/2021, à 04:18)

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

geole

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Bonsoir. Report du contexte.
Fichier téléchargé par un logiciel.

 ls -ls /Risque
total 64
64 -rw-rw-r-- 1 a a 64339 déc.   3 13:17 ubuntu-16.04.6-desktop-i386.iso.torrent

dpkg -l | grep firefox
rc  firefox                                    93.0+build1-0ubuntu3                         amd64        Safe and easy web browser from Mozilla

snap list | grep firefox
firefox            94.0.2-2            731       latest/stable    mozilla*    -

Idem pour un autre endroit avec un autre fichier

a@b:/tmp$ ls -ls *gpg
4 -rw-rw-r-- 1 a a 916 déc.   3 13:35 MD5SUMS.gpg
a@b:/tmp$ 

Dernière modification par geole (Le 04/12/2021, à 00:47)

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Coeur Noir

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Tiens au fait, y-a-t-il un dossier firefox.tmp dans ton ~/Téléchargements ?

En tout cas, ça ne semble rien résoudre concernant les modules qui ont besoin du native host messaging ( chrome-gnome-shell et autres audio-video-downloader… )
et Firefox en snap ne sait pas automatiquement s'accorder au thème système, clair ou sombre.

Donc il accède à des fichiers et dossiers système …pour quoi faire ?

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

geole

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Bonjour

Avant relance de firefox

a@b:~$ sudo find . -name firefox.tmp
./snap/firefox/common/firefox.tmp

a@b:~$ cd ./snap/firefox/common/firefox.tmp
a@b:~/snap/firefox/common/firefox.tmp$ 

a@b:~/snap/firefox/common/firefox.tmp$ ls -ls
total 4
4 drwx------ 2 a a 4096 déc.   3 15:44 Temp-6facfab6-c3e5-48cb-bffe-e5edc9e886fa

a@b:~/snap/firefox/common/firefox.tmp$ cd  *
a@b:~/snap/firefox/common/firefox.tmp/Temp-6facfab6-c3e5-48cb-bffe-e5edc9e886fa$ ls -als
total 8
4 drwx------ 2 a a 4096 déc.   3 15:44 .
4 drwx------ 3 a a 4096 déc.   3 15:55 ..
a@b:~/snap/firefox/common/firefox.tmp/Temp-6facfab6-c3e5-48cb-bffe-e5edc9e886fa$  

Pendant le transfert de fichier, rien n’est créé dans ce répertoire.

A noter que pour les transferts de fichier, si je choisis un répertoire dans lequel je n’ai pas d’autorisation d’écriture (/root , /lib .... ). Le transfert est refusé avec un message très clair.
"Le fichier ne peut pas être enregistré car vous n’avez pas les permissions nécessaires. Choisissez un autre répertoire d’enregistrement."

Dernière modification par geole (Le 04/12/2021, à 12:06)

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Coeur Noir

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Pourquoi un sudo find, la question c'était : « y-a-t-il un dossier firefox.tmp dans ton ~/Téléchargements » ?
Car c'est à priori là que Firefox en snap crée son dossier temporaire.
Chez moi sudo find . -name firefox.tmp ne répond rien, j'essaie de repérer les différences…
Et pas de firefox.tmp par là non plus :

django@ASGARD:~$ ls -la ~/snap/firefox/common/
total 16
drwxr-xr-x 4 django django 4096 déc.   3 22:36 .
drwxr-xr-x 4 django django 4096 déc.   3 22:36 ..
drwxr-xr-x 7 django django 4096 déc.   3 22:38 .cache
drwxr-xr-x 4 django django 4096 déc.   3 22:36 .mozilla
django@ASGARD:~$

C'est lié à la version d'Ubuntu ou de snapd ?
20.04 ici et snapd 2.51.1+20.04ubuntu2

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

geole

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Le répertoire $HOME/Téléchargement n'est pas le répertoire par défaut.

 ls -rals $HOME/Téléchargements
total 8
4 drwxr-x--- 21 a a 4096 déc.   4 15:08 ..
4 drwxrwxr-x  2 a a 4096 déc.   4 15:08 .
a@b:~$

Je suis incapable  de modifier la valeur  par défaut.  Certainement un bug.  Mais je peux lui dire de ne pas l'utiliser.
Le contenu par défaut est trouvé dans ce répertoire

ls -als $HOME/snap/firefox/common
total 10828
   4 drwxr-xr-x 5 a a    4096 déc.   4 15:11 .
   4 drwxr-xr-x 5 a a    4096 nov.  30 11:40 ..
   4 drwxrwxr-x 7 a a    4096 nov.  30 11:40 .cache
   4 drwx------ 3 a a    4096 déc.   4 15:11 firefox.tmp
   4 drwxrwxr-x 4 a a    4096 nov.   2 15:12 .mozilla
  64 -rw-rw-r-- 1 a a   64339 déc.   3 13:12 ubuntu-16.04.6-desktop-i386.iso.torrent
4796 -rw-rw-r-- 1 a a 4910637 déc.   3 15:46 ubuntu-18.04.6-desktop-amd64.iso.zsync
5948 -rw-rw-r-- 1 a a 6087113 déc.   4 15:11 ubuntu-21.10-desktop-amd64.iso.zsync

Dernière modification par geole (Le 04/12/2021, à 16:26)

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Coeur Noir

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Le répertoire $HOME/Téléchargement n'est pas le répertoire par défaut.
Chez moi non plus…

Ta version de snapd ? Et d'Ubuntu ?

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

geole

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Bonjour
Voici les versions

dpkg -l | grep snap
ii  gir1.2-snapd-1:amd64                       1.58-4ubuntu1                                amd64        Typelib file for libsnapd-glib1
ii  gnome-software-plugin-snap                 41.1-1                                       amd64        Snap support for GNOME Software
ii  libsnapd-glib1:amd64                       1.58-4ubuntu1                                amd64        GLib snapd library
ii  libsnappy1v5:amd64                         1.1.8-1build2                                amd64        fast compression/decompression library
ii  snapd                                      2.53+21.10ubuntu1                            amd64        Daemon and tooling that enable snap packages
a@b:~$ 

 uname -a
Linux b 5.13.0-19-generic #19-Ubuntu SMP Thu Oct 7 21:58:00 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

 lsb_release -r
Release:	22.04

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Coeur Noir

Re : Firefox snap : pas confiné par défaut ? Réponse courte : si, si.

Ah. Ça explique des différences je suppose, ta version de snapd étant plus récente.

Et par là, des réponses plus précises https://forum.snapcraft.io/t/firefox-94 … ined/27799 sur les « rouages » du confinement de Firefox en snap.

En fait le snap ( firefox ici dans l'exemple ) n'accède jamais directement aux fichiers…

Dernière modification par Coeur Noir (Le 06/12/2021, à 04:17)

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >