6Sep
"Sandboxing" yra svarbi saugumo priemonė, kuri išskiria programas, užkertančias kelią kenkėjiškoms ar sugedančioms programoms, kad nebūtų pažeista ar pažeista likusiame kompiuteryje. Programinė įranga, kurią naudojate, jau yra "smėlio dėžės", kurioje daug kasdien paleidžiamas kodas.
Taip pat galite kurti savo sandboxes, kad bandytumėte arba analizuotumėte programinę įrangą saugomoje aplinkoje, kurioje negalėsite padaryti žalos likusiai jūsų sistemai.
Kaip smulkaus dėžės yra būtinos saugumui
Smėlio dėžė yra griežtai kontroliuojama aplinka, kurioje galima paleisti programas."Smėlio dėžės" apriboja tai, ką gali padaryti kodas, suteikiant jam tiek pat daug leidimų, kiek reikia, nepriimant papildomų leidimų, kurie gali būti piktnaudžiaujama.
Pavyzdžiui, jūsų žiniatinklio naršyklė iš esmės vykdo tinklalapius, kuriuos apsilankėte smėlio dėžėje. Jie gali veikti tik jūsų naršyklėje ir pasiekti ribotą išteklių skaičių - jie negali peržiūrėti jūsų kameros be leidimo ar skaityti jūsų kompiuterio vietinius failus. Jei jūsų apsilankytos svetainės nebuvo sandboxed ir izoliuoti nuo likusios jūsų sistemos, apsilankymas kenkėjiškoje svetainėje būtų toks pat blogas kaip ir viruso įdiegimas.
Kitos programos jūsų kompiuteryje taip pat yra sandbox. Pavyzdžiui, "Google Chrome" ir "Internet Explorer" patys veikia smėlio dėžėje.Šios naršyklės yra programos, veikiančios jūsų kompiuteryje, tačiau jos neturi prieigos prie viso kompiuterio. Jie veikia mažo leidimo režimu. Net jei tinklalapis rastų saugos pažeidžiamumą ir pavyko kontroliuoti naršyklę, tada turėtumėte pabėgti iš naršyklės smėlio dėžės, kad padarytumėte tikrąją žalą.Turėdami mažiau naršyklių naršyklę, gauname saugumą.Deja, "Mozilla Firefox" vis dar neveikia smėlio dėžėje.
Kas jau yra smėlio dėžė
Daugybė kodų, kuriuos jūsų įrenginiai paleidžia kiekvieną dieną, jau apsaugoti nuo sandbox:
- tinklalapiai : jūsų naršyklė iš esmės sandboxes įkelia puslapius. Tinklalapiuose galima paleisti "JavaScript" kodą, tačiau šis kodas negali nieko padaryti, ko nori - jei "JavaScript" kodas bando pasiekti jūsų kompiuteryje esantį vietinį failą, prašymas nepavyks.
- naršyklės įskiepio turinys : naršyklės papildinių, pvz., "Adobe Flash" arba "Microsoft Silverlight" įkeliamas turinys, paleidžiamas ir smėlio dėžėje. Flash žaidimas tinklalapyje yra saugesnis nei atsisiųsti žaidimą ir paleisti jį kaip standartinę programą, nes Flash išskiria žaidimą iš likusios jūsų sistemos ir riboja tai, ką ji gali padaryti. Naršyklės papildiniai, ypač "Java", yra dažnas atakų, naudojančių apsaugos nuo pažeidžiamumo vietas, taikinys, siekiant išvengti šios smėlio dėžės ir padaryti žalos.
- PDF ir kiti dokumentai : "Adobe Reader" dabar atlieka PDF failus smėlio dėžėje, užkertant kelią išvengti PDF žiūryklės ir sugadinti likusį jūsų kompiuterį."Microsoft Office" taip pat turi "sandbox" režimą, kad nesaugios makrokomandos negalėtų pakenkti jūsų sistemai.
- naršyklės ir kitos potencialiai pažeidžiamos programos. : interneto naršyklės paleidžiamos žemo lygio leidimuose, sandboxed režimu, siekiant užtikrinti, kad jie negalės padaryti daug žalos, jei jie bus pažeisti:
- Mobile Apps : mobiliosios platformos paleisti savo programas smėlio dėžėje."IOS", "Android" ir "Windows 8" programose neleidžiama atlikti daugelio dalykų, kuriuos gali atlikti standartinės stalinių kompiuterių programos. Jie turi deklaruoti leidimus, jei jie nori ką nors padaryti, pvz., Prieiti prie jūsų vietos. Savo ruožtu mes gauname tam tikrą saugumą - smėlio dėžė taip pat išskiria programas iš vienos pusės, taigi jos negali keistis viena su kita.
- "Windows" programos : "Vartotojo abonemento valdymas" veikia kaip smulkmenų aplinka, iš esmės riboja "Windows" darbalaukio programas iš sistemos failų keitimo, prieš tai neprašydamas leidimo. Atkreipkite dėmesį, kad tai yra labai minimali apsauga - bet kokia "Windows" darbalaukio programa gali pasirinkti palikti fone ir įrašyti visus savo klaviatūros klavišus. Vartotojo abonemento kontrolė tik leidžia apriboti prieigą prie sistemos failų ir visos sistemos nustatymų.
Kaip "smėlio dėžė" bet kokia programa "
" darbalaukio programos pagal nutylėjimą paprastai nėra sandbox.Žinoma, yra UAC, bet, kaip minėjome aukščiau, tai yra labai minimali sandboxing. Jei norite išbandyti programą ir ją paleisti, kad netrukdytų likusiai jūsų sistemai, galite paleisti bet kurią programą smėlio dėžėje.
- virtualūs įrenginiai : virtualaus aparato programa, pvz., VirtualBox arba VMware, sukuria virtualius aparatūros įrenginius, kuriuos ji naudoja paleisti operacinę sistemą.Kita operacinė sistema veikia jūsų darbalaukyje esančiame lange.Ši visa operacinė sistema iš esmės yra "sandbox", nes ji neturi prieigos prie nieko, esančio ne virtualioje mašinoje. Galite įdiegti programinę įrangą virtualizuotoje operacinėje sistemoje ir paleisti šią programinę įrangą, lyg ji dirba standartiniame kompiuteryje. Tai leistų jums įdiegti kenksmingą programinę įrangą ir ją analizuoti, pavyzdžiui, arba tiesiog įdiekite programą ir pažiūrėkite, ar ji veikia blogai. Virtualiose kompiuterinėse programose taip pat pateikiamos fotografavimo funkcijos, kad galėtumėte "grąžinti" savo svečio operacinę sistemą į būseną, kurioje įdiegėte blogą programinę įrangą.
- Sandboxie : "Sandboxie" yra "Windows" programa, sukurianti "Windows" programoms skirtų smulkių dėžučių.Tai sukuria atskiras virtualias programas, kurios neleidžia nuolat keisti kompiuterio. Tai gali būti naudinga programinės įrangos testavimui. Daugiau informacijos rasite "Sandboxie" pristatyme.
Sandboxing nėra kažkas, dėl kurio vidutinis vartotojas turi nerimauti. Programos, kurias naudojate, atlieka smėlio dėžės darbus fone, kad užtikrintų saugumą.Tačiau turėtumėte nepamiršti, kas yra smėlio dėžė ir kas nėra, todėl saugiau įkelti bet kokią svetainę nei paleisti bet kurią programą.
Tačiau, jei norite, kad sandbox būtų standartinė darbalaukio programa, kuri paprastai nebūtų sandbox, tai galite padaryti naudodami vieną iš pirmiau nurodytų įrankių.