Sandboxning är en viktig säkerhetstekniksom isolerar program och förhindrar skadliga eller felaktiga program från att skada eller smyga på resten av din dator. Programvaran du använder är redan sandlådor mycket av koden du kör varje dag.
Du kan också skapa egna sandlådor för att testa eller analysera programvara i en skyddad miljö där den inte kan skada resten av ditt system.
Hur sandlådor är viktiga för säkerhet
En sandlåda är en tätt kontrollerad miljödär program kan köras. Sandlådor begränsar vad ett kodstycke kan göra, vilket ger det lika många behörigheter som det behöver utan att lägga till ytterligare behörigheter som kan missbrukas.
Till exempel kör din webbläsare i huvudsakwebbsidor du besöker i en sandlåda. De är begränsade till att köra i din webbläsare och få åtkomst till en begränsad uppsättning resurser - de kan inte visa din webbkamera utan tillstånd eller läsa datorns lokala filer. Om webbplatser du besöker inte sandlådades och isolerades från resten av ditt system, skulle det vara lika dåligt att installera ett skadligt webbplats som att installera ett virus.
Andra program på din dator är ocksåsandlåda. Till exempel kör Google Chrome och Internet Explorer båda i en sandlåda själva. Dessa webbläsare är program som körs på din dator, men de har inte tillgång till hela datorn. De körs i ett läge med lågt tillstånd. Även om webbsidan hittade en säkerhetsproblem och lyckades ta kontroll över webbläsaren, måste den komma undan webbläsarens sandlåda för att göra verkliga skador. Genom att köra webbläsaren med färre behörigheter får vi säkerhet. Tyvärr körs Mozilla Firefox fortfarande inte i en sandlåda.
Vad är redan sandboxat
Mycket av koden som dina enheter kör varje dag är redan sandlådad för att skydda dig:
- Webbsidor: Din webbläsare sandar i princip sandlådor på webbensidor det laddas. Webbsidor kan köra JavaScript-kod, men den här koden kan inte göra någonting den vill - om JavaScript-kod försöker komma åt en lokal fil på din dator kommer begäran att misslyckas.
- Webbläsarens plugin-innehåll: Innehåll laddat av webbläsar-plug-ins - t.ex.Adobe Flash eller Microsoft Silverlight - körs också i en sandlåda. Att spela ett flashspel på en webbsida är säkrare än att ladda ner ett spel och köra det som ett standardprogram eftersom Flash isolerar spelet från resten av ditt system och begränsar vad det kan göra. Browser-plug-ins, särskilt Java, är ett ofta mål för attacker som använder säkerhetsproblem för att undgå denna sandlåda och göra skador.
- PDF-filer och andra dokument: Adobe Reader kör nu PDF-filer i en sandlåda,förhindrar dem från att komma undan PDF-visaren och manipulera med resten av din dator. Microsoft Office har också ett sandlådeläge för att förhindra att osäkra makron skadar ditt system.
- Webbläsare och andra potentiellt sårbara applikationer: Webbläsare körs med läge med tillstånd sandlådan för att se till att de inte kan göra så mycket skada om de är komprometterade:
- Mobilappar: Mobilplattformar kör sina appar i en sandlåda. Appar för iOS, Android och Windows 8 är begränsade från att göra många av de saker som standard stationära applikationer kan göra. De måste deklarera behörigheter om de vill göra något som att komma åt din plats. I gengäld får vi viss säkerhet - sandlådan isolerar också appar från varandra, så att de inte kan manipulera med varandra.
- Windows-program: Användarkontokontroll fungerar som lite avsandlåda, väsentligen begränsar Windows skrivbordsapplikationer från att ändra systemfiler utan att först be dig tillstånd. Observera att detta är mycket minimalt skydd - alla Windows-skrivbordsprogram kan välja att sitta i bakgrunden och logga alla dina tangenttryckningar, till exempel. Användarkontokontroll begränsar bara åtkomsten till systemfiler och systemomfattande inställningar.
Hur Sandbox Any Program
Skrivbordsprogram sandboxas vanligtvis inte avstandard. Visst, det finns UAC - men som vi nämnde ovan är det väldigt minimal sandlåda. Om du vill testa ett program och köra det utan att det kan störa resten av ditt system kan du köra valfritt program i en sandlåda.
- Virtuella maskiner: Ett virtuellt maskinprogram som VirtualBox ellerVMware skapar virtuella hårdvara som den använder för att köra ett operativsystem. Det andra operativsystemet körs i ett fönster på skrivbordet. Hela operativsystemet är i grunden sandlådor eftersom det inte har tillgång till någonting utanför den virtuella maskinen. Du kan installera programvara på det virtualiserade operativsystemet och köra den programvaran som om den körs på en standarddator. Detta skulle till exempel kunna installera skadlig programvara och analysera det - eller bara installera ett program och se om det gör något dåligt. Program för virtuella maskiner innehåller också ögonblicksfunktioner så att du kan "rulla tillbaka" ditt gästoperativsystem till det läge det var innan du installerade den dåliga programvaran.
- Sandboxie: Sandboxie är ett Windows-program som skaparsandlådor för Windows-applikationer. Det skapar isolerade virtuella miljöer för program och hindrar dem från att göra permanenta ändringar på din dator. Detta kan vara användbart för att testa programvara. Se vår introduktion till Sandboxie för mer information.
Sandboxing är inte något som den genomsnittliga användaren behöveratt oroa sig om. Programmen du använder gör sandlådan i bakgrunden för att hålla dig säker. Du bör dock tänka på vad som är sandlådor och vad som inte är - det är därför det är säkrare att ladda någon webbplats än att köra något program.
Men om du vill sandlåda ett vanligt skrivbordsprogram som normalt inte skulle sandlåda kan du göra det med ett av ovanstående verktyg.
