newz.dk - Nyheder - Virtualiseret browser skal hindre angreb

#12 - reonekot

reonekot — Wed, 08 Sep 2010 16:03:45 +0200

Chrome kører ikke mere sandbox end IE i protected mode AFAIK. (under Vista+) Dvs. lav integritets process, der ikke har skriveadgang uden for bestemt områder.

#11 - cryo

cryo — Wed, 08 Sep 2010 15:09:00 +0200

Så alle programmer (om det er browser, office, spil eller virus) bliver startet i sin egen sandkasse, og ikke kan røre styresystemet eller de andre programmer.fennec (#7)

Med mindre man er logget ind som administrator, og det er man vist ikke i vore dage, så kan programmer generelt ikke let nå styresystemet. Det er dog rigtigt at de kan nå brugerens egne data. Det er dog praktisk at kunne dele dokumenter mv. mellem programmer, så det er et vigtigt hensyn at tage. Noget andet er services (som ofte har været mål for angreb); de kan med stor fordel køres i meget kontrollerede miljøer.

#10 - cryo

cryo — Wed, 08 Sep 2010 15:06:51 +0200

#9 de er ikke specielt løse, de er bare ikke implementeret for ret mange services. Sidst jeg tjekkede var de fx implementeret for deres DNS-server BIND og et par andre ting. Ganske få, dog. Det vil nok blive udvidet i fremtiden.

At køre i en sandbox generelt bliver dog hurtigt utåleligt for brugeren. SE-Linux er sjovt de første par dage...

#9 - ksb

ksb — Wed, 08 Sep 2010 14:53:01 +0200

Det korrekt at mac OSX >= 10.5 kører 'mandatory access control' men det er med relativt løse sikkerhedsprofiler for ikke at forstyre brugeren. Hvis man vil have maks adskillelse er TrustedBSD eller FreeBSD som implementere hele frameworket et bedre bud. OSX udgaven kan til en hvis grad narres da apples kompromis er tættere på brugervenlighed end sikkerhed(og ja, i denne sammenhænge er de to modsætninger).
Der findes også lignende frameworks til linux og solaris, samt selvfølgelig sandboxie til windows som allerede er nævnt.

#8 - webwarp

webwarp — Wed, 08 Sep 2010 13:18:04 +0200

#7 det er det også i fx mac...

#7 - fennec

fennec — Wed, 08 Sep 2010 13:02:27 +0200

Hvad jeg ikke forstår er hvorfor sandbox ikke er indbygget i styresystemerne endnu. Og burde være slået til som default.

Så alle programmer (om det er browser, office, spil eller virus) bliver startet i sin egen sandkasse, og ikke kan røre styresystemet eller de andre programmer. Det kan så være op til brugeren at samle flere programmer i samme kasse, hvis man ønsker det, for at spare ressourcer.

#6 - mbp

mbp — Wed, 08 Sep 2010 12:57:12 +0200

Siden hvornår bliver chrome og safari kørt i en sandbox?
Jeg bruger Sandboxie som 3# linker til, det opretter en falsk mappestruktur for programmer og dokumenter, men alt der kører inden i sandboxen kan ikke røre noget udenfor fx egne filer ol.
Ikke det er det samme som Chrome som kører en enkelt process for hver tab. Ret mig hvis jeg tager fejl.contradel (#5)

Chrome har tidligere udtalt, at deres browser (hver process/tab går jeg ud fra) kører i samme type sandbox, som nyheden omtaler.

#5 - contradel

contradel — Wed, 08 Sep 2010 12:53:33 +0200

Siden hvornår bliver chrome og safari kørt i en sandbox?

Jeg bruger Sandboxie som 3# linker til, det opretter en falsk mappestruktur for programmer og dokumenter, men alt der kører inden i sandboxen kan ikke røre noget udenfor fx egne filer ol.

Ikke det er det samme som Chrome som kører en enkelt process for hver tab. Ret mig hvis jeg tager fejl.

#4 - webwarp

webwarp — Wed, 08 Sep 2010 12:19:56 +0200

can u say chrome or safari .oO

#3 - Yakuzing

Yakuzing — Wed, 08 Sep 2010 11:57:41 +0200

http://sandboxie.com