<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi Seth <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">First of; I'm sorry for such a long time without answer, but I was doing some tests; over and over again. I mean WebGL issue and AppArmor DENIED messages for "/home/user/.nv/" folder etc. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">First things first; a few months ago, I've decided to disable WebGL, in order to reduce some attack surface and because of a security issues related with this new web standard* etc. It seems, that one - major - risk is that WebGL involves running code directly on the video card. <span id="result_box" class="short_text" lang="en"><span class="">Supposedly, US-CERT recommends to turn off WebGL in the browsers that do support it. </span></span><br><br>However, web browsers uses some defenses against the security risks (i.e. by blacklisted video cards with known security problems and so on.) I used 'about:config' feature to set "webgl.disabled" to "true" and also set "webgl.force-enabled" to "false". <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Anyway, in both cases: with WebGL enabled (and "browsing to awebsite that uses webgl" - just as You've asked) and disabled, the first Firefox starts/open produces an AppArmor entries in log files, such as '/var/log/kern.log' and '/var/log/syslog'. And It happens all the time. Some of them: <br><br>__WebGL DISABLED__:<br><br>Jan 21 15:36:47 t4 kernel: [10807.619649] type=1400 audit(1485009407.842:52): apparmor="DENIED" operation="file_mmap" parent=3260 profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/home/user1/.nv/gl9IYD2K" pid=3263 comm="firefox" requested_mask="m" denied_mask="m" fsuid=1000 ouid=1000 <br><br>__WebGL ENABLED__: <br><br>Jan 25 12:15:29 t4 kernel: [  668.442681] type=1400 audit(1485342929.669:51): apparmor="DENIED" operation="file_mmap" parent=2823 profile="/usr/lib/firefox/firefox{,*[^s][^h]}" name="/home/user1/.nv/gl5e8uFU" pid=2826 comm="firefox" requested_mask="m" denied_mask="m" fsuid=1000 ouid=1000 <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Of course, there are much more such entries - after every Firefox first start. <span id="result_box" class="short_text" lang="en"><span class="">As you</span> <span>have noticed:</span></span> "the filename
<span id="result_box" class="short_text" lang="en"><span></span></span>feels like a random name". Maybe a new Firefox version - 51.0 - will introduce any changes? Mozilla has released this version yesterday; on 24 Jan, but update is not available yet.   This version adds support for FLAC
playback and WebGL 2 **. <br><br><span id="result_box" class="short_text" lang="en"><span class=""></span></span> <span id="result_box" class="short_text" lang="en"></span></div><div class="gmail_default" style="font-family:verdana,sans-serif">In turn, <abstractions/nvidia> file, on my system, looks this way (completely different than your.): <br><br># vim:syntax=apparmor<br># nvidia access requirements<br>  <br>  # configuration queries<br>  capability ipc_lock,<br><br>  # device files<br>  /dev/nvidia0    rw,<br>  /dev/nvidiactl  rw,<br><br>  /proc/interrupts r,<br>  /proc/sys/vm/max_map_count r, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">So, the question is: what should I do in such situation? Add a new rule to the Firefox profile or just use <abstractions/nvidia> file? Here are some informations about my graphics card, driver version etc.: <br><br>nvidia-304:  304.134-0ubuntu0.12.04.1 <br>lspci(8): VGA compatible controller: NVIDIA Corporation C73 [GeForce 7100 / nForce 630i] <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I hope, that this message will be helpful.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">_____________<br>* <a href="https://www.contextis.com/resources/blog/webgl-new-dimension-browser-exploitation/">https://www.contextis.com/resources/blog/webgl-new-dimension-browser-exploitation/</a> <br>** <a href="https://www.mozilla.org/en-US/firefox/51.0/releasenotes/">https://www.mozilla.org/en-US/firefox/51.0/releasenotes/</a> <br></div></div>