6Sep
Sandboxing är en viktig säkerhets teknik som isolerar program, förhindrar skadliga eller funktionshindrade program från skadlig eller snooping på resten av din dator. Programvaran du använder sänder redan mycket av koden du kör varje dag.
Du kan också skapa egna sandlådor för att testa eller analysera programvara i en skyddad miljö där det inte kommer att kunna skada resten av ditt system.
Hur sandlådor är viktiga för säkerhet
En sandlåda är en strikt kontrollerad miljö där program kan köras. Sandboxar begränsa vad en del kod kan göra, vilket ger lika många behörigheter som det behöver utan att lägga till ytterligare behörigheter som kan missbrukas.
Till exempel kör webbläsaren i huvudsak webbsidor som du besöker i en sandlåda. De är begränsade till att du kör i din webbläsare och får tillgång till en begränsad uppsättning resurser - de kan inte visa din webbkamera utan tillstånd eller läsa datorns lokala filer. Om webbplatser du besöker inte var sandlåda och isolerade från resten av ditt system, skulle det vara så illa att installera ett virus när du besöker en skadlig webbplats.
Andra program på din dator är också sandlåda. Till exempel kör Google Chrome och Internet Explorer båda i en sandlåda själva. Dessa webbläsare är program som körs på datorn, men de har inte tillgång till hela datorn. De körs i ett tillstånd med låg tillåtelse.Även om webbsidan upptäckte ett säkerhetsproblem och lyckades ta kontroll över webbläsaren, skulle det behöva flytta webbläsarens sandlåda för att göra verkliga skador. Genom att köra webbläsaren med färre behörigheter får vi säkerhet. Tyvärr går Mozilla Firefox fortfarande inte i en sandlåda.
Det som redan är sandboxed
Mycket av koden som dina enheter kör varje dag är redan sandlåda för ditt skydd:
- Webbsidor : Din webbläsare sandar väsentligen webbsidorna som laddas. Webbsidor kan köra JavaScript-kod, men den här koden kan inte göra någonting det vill - om JavaScript-kod försöker få åtkomst till en lokal fil på din dator, kommer förfrågan misslyckas.
- Innehåll för webbläsare : Innehåll laddat av pluginprogram för webbläsare - som Adobe Flash eller Microsoft Silverlight - körs också i en sandlåda. Att spela ett flashspel på en webbsida är säkrare än att ladda ner ett spel och köra det som ett standardprogram eftersom Flash isolerar spelet från resten av systemet och begränsar vad det kan göra. Browser-plugin-program, särskilt Java, är ett vanligt mål för attacker som använder säkerhetsproblem för att komma undan denna sandlåda och göra skador.
- PDF-filer och andra dokument : Adobe Reader kör nu PDF-filer i en sandlåda, förhindrar dem att fly från PDF-tittaren och manipulera med resten av datorn. Microsoft Office har också ett sandlåda läge för att förhindra att osäkra makron skadar ditt system.
- -webbläsare och andra potentiellt utsatta applikationer : Webbläsare körs med låg tillåtelse, sandlåda läge för att säkerställa att de inte kan göra mycket skada om de äventyras:
- Mobile Apps : Mobila plattformar kör sina appar i en sandlåda. Appar för iOS, Android och Windows 8 är begränsade från att göra många av de saker som vanliga skrivbordsprogram kan göra. De måste deklarera behörigheter om de vill göra något som åtkomst till din plats. I gengäld får vi viss säkerhet - sandboxen isolerar också program från varandra, så att de inte kan manipulera med varandra.
- Windows-program : Användarkontokontrollfunktioner som en del av en sandlåda, vilket väsentligen begränsar Windows-skrivbordsapplikationer från att ändra systemfiler utan att först fråga dig tillstånd. Observera att det här är ett mycket minimalt skydd - något Windows-skrivprogram kan välja att sitta i bakgrunden och logga alla dina tangenttryckningar till exempel. Användarkontokontroll begränsar bara åtkomst till systemfiler och systemövergripande inställningar.
Hur Sandbox Any Program
Skrivbordsprogram är normalt inte sandlåda som standard. Visst, det finns UAC - men som vi nämnde ovan är det väldigt minimal sandlåda. Om du vill testa ett program och köra det utan att det kan störa resten av ditt system kan du köra något program i en sandlåda.
- Virtuella maskiner : Ett virtuellt maskinprogram som VirtualBox eller VMware skapar virtuella hårdvaruenheter som den använder för att köra ett operativsystem. Det andra operativsystemet körs i ett fönster på skrivbordet. Hela operativsystemet är i huvudsak sandlåst, eftersom det inte har tillgång till någonting utanför den virtuella maskinen. Du kan installera programvara på det virtuella operativsystemet och köra den programvaran som om den kördes på en vanlig dator. Det här låter dig installera skadlig kod och analysera det, till exempel - eller bara installera ett program och se om det gör något dåligt. Virtuella maskinprogram innehåller också ögonblicksfunktioner så att du kan "rulla tillbaka" ditt gästoperativsystem till det tillstånd den var innan du installerade den dåliga programvaran.
- Sandboxie : Sandboxie är ett Windows-program som skapar sandlådor för Windows-applikationer. Det skapar isolerade virtuella miljöer för program, vilket hindrar dem från att göra permanenta ändringar på din dator. Detta kan vara användbart för testning av programvara. Kontakta vår introduktion till Sandboxie för mer information.
Sandboxing är inte något som den genomsnittliga användaren behöver oroa sig för. De program du använder gör sandboxningen i bakgrunden för att hålla dig säker. Du bör dock komma ihåg vad som är sandboxat och vad som inte är - det är därför det är säkrare att ladda alla webbplatser än att köra något program.
Men om du vill sandlåda ett vanligt skrivbordsprogram som normalt inte skulle vara sandlåda kan du göra det med ett av ovanstående verktyg.