Názor k článku Rozšíření prohlížečů jsou hrozbou pro soukromí uživatelů od Vít Šesták - No jo, ale Firejail musí nějak poznat, kam...

No jo, ale Firejail musí nějak poznat, kam má přístup dovolit (např. ~/.mozilla/firefox) a kam ne. Podobně jako přístup přes X11 se dá různě omezovat. Proto je potřeba specifikovat nějaký profil, který to určí. V dokumentaci jsem k tomu ale moc nenašel, celkový pocit jsem měl „Něco jsme omezili a má to nějak zlepšit bezpečnost.“ bez dalšího vysvětlení. To mě tehdy odradilo od dalšího zkoumání – není jasné, jestli jde o bug, nebo feature. Vždy se dá následně říct, že a) mám špatnou konfiguraci nebo b) to je mimo rozsah hrozeb, které má Firejail eliminovat. A i proto bych chtěl bližší specifikaci, jak mám Firejail nastavit.

ArchLinux se mi sice moc nechce instalovat od nuly, ale mohl bych zkusit si zbuildit šablonu v Qubesu. (To už jsem dělal pro jiné distro.) Ano, pak to nepoběží v HVM, ale v PV, navíc s trošku jiným prostředím – ale můžeme se domluvit, že vlastnosti X11 využívat nebudu (pokud tu je přímý přístup k X11, bylo by to až moc jednoduché, v podstatě by stačil xdotool) a že nastartuju nějaké celé grafické prostředí (KDE/Gnome/Mate, je to celkem jedno, ideálně něco, co nechce moc grafickou akceleraci).