Среди пользователей Linux часто возникают дискуссии о безопасности упаковки сложных программ. Обсуждение на форуме Fedora запустило волну слухов о том, что веб-браузеры в формате Flatpak работают с отключенной песочницей. Корень проблемы кроется в механизме пространств имен пользователей (user namespaces), который Flatpak блокирует для защиты хост-системы. Движок Chromium исторически требует именно пространств имен для изоляции своих вкладок, из-за чего его запуск во Flatpak требует применения обходной прослойки zypak.
Многие пользователи ошибочно перенесли эту проблему на все браузеры, решив, что Firefox также теряет встроенную защиту. Однако инженеры Mozilla в официальном баг-трекере проекта прямо опровергают этот миф. Отсутствие доступа к пространствам имен приводит лишь к потере chroot-изоляции. Для Firefox это лишь дополнительный эшелон обороны, а не фундамент безопасности. Веб-браузер проектировался так, чтобы штатно функционировать и защищать пользователя даже в тех дистрибутивах, где пространства имен отключены на уровне ядра.
Механизм наложения фильтров seccomp-bpf
Главный инструмент Firefox для ограничения прав вкладок - технология seccomp-bpf. Она фильтрует системные вызовы, жестко определяя, какие команды каждый процесс может отправлять операционной системе.
В среде Flatpak возникает ситуация двойной песочницы. Как подтверждают разработчики, фильтры seccomp имеют свойство корректно накладываться друг на друга (nesting). Когда ядро Linux получает системный вызов, оно пропускает его через все активные фильтры, и всегда срабатывает самое строгое правило. Это означает, что внутренние ограничения процессов Firefox остаются полностью активными. Они работают поверх базовой изоляции Flatpak, не позволяя вредоносному коду со взломанного сайта получить доступ к файлам системы или другим вкладкам. Такая комбинация обеспечивает комфорт при серфинге и гарантирует высокий уровень безопасности.
Переход на архитектуру forkserver
Единственной реальной технической сложностью для Firefox во Flatpak долгое время оставалась система порождения процессов. Браузер использовал стандартный системный вызов fork. Попытка перевести создание процессов на встроенный механизм flatpak-spawn приводила к потере совместного использования памяти (Copy-on-Write), что вызывало резкий рост потребления ОЗУ.
Решением стала архитектура forkserver для Linux-версий веб-браузера. Новый подход позволяет Firefox эффективно и экономично управлять изолированными процессами. Благодаря этому обновлению программа получает возможность корректно взаимодействовать с flatpak-spawn, что в перспективе вернет недостающий слой изоляции пространств имен без ущерба для производительности. Пользователи атомарных ОС могут уверенно использовать Firefox из Flathub, получая все актуальные характеристики безопасности.
Простыми словами: представьте Flatpak как демилитаризованную зону (DMZ), которая строго отсекает веб-браузер от критичных узлов операционной системы. Пользователи опасались, что из-за запрета на создание пространств имен (виртуальных контейнеров) внутренние барьеры между вкладками внутри этой зоны отключаются. На деле Firefox применяет подход Zero Trust: вместо надежды на контейнерную изоляцию, браузер использует жесткий фильтр системных вызовов (seccomp-bpf) как персональный межсетевой экран для каждого процесса. Вредоносный код со взломанного сайта блокируется на уровне ядра Linux. Он не способен атаковать соседние вкладки, а сам веб-браузер физически лишен прав навредить вашей файловой системе.
Linux: обзоры и обновления
• Почему Firefox во Flatpak безопасен: разбор архитектуры веб-браузера
• 5 дистрибутивов Linux с поддержкой Windows Secure Boot
• Чего ждать от GNOME 50: стабильный VRR и умное масштабирование
• Отказ от X11 и релиз Plasma 6: как KDE захватывает корпоративный сегмент
• Сроки обслуживания ядра Linux увеличены для шести LTS-релизов
• Релиз Mesa 26.0.1 вышел с исправлениями ошибок и обновлением безопасности для WebGPU