【Chromium中文文档】沙箱FAQ

什么是沙箱?

沙箱是一个允许沙箱进程创建的C++库,沙箱进程是一种运行在非常限制性的环境中的进程。沙箱进程可以唯一自由使用的资源是CPU周期和内存。例如,沙箱进程不能写磁盘或者显示他们自己的窗口。它们真正能做的事情由一种明确的策略锁控制。Chromium渲染器都是沙箱化进程。

沙箱可以保护什么,不能保护什么?

沙箱限制了运行在沙箱中的代码的bug的危害。这些bug不能在用户的账号中安装持久性的恶意软件(因为写文件系统被禁止),这些bug也不能读取或者从用户的设备中盗取任何文件。

(在Chromium中,渲染器进程是沙箱化的,它们处于这种保护中。Chromium插件还没有运行在沙箱中,因为许多插件的设计基于这样一个假设:它们对本地系统有着完全的访问权限。另外也要注意,Chromium渲染器进程与系统相隔离,但还未与网络相隔离。所以,基于域名的数据隔离还未提供)。

沙箱不能为系统组件(比如系统内核正在运行的组件)中的bug提供任何保护。

沙箱像JVM?

恩,有点像...除了你必须为Java沙箱的优点重写代码以使用Java。在我们的沙箱中,你可以向你现有的C/C++应用程序添加沙箱。由于代码并非执行于虚拟机中,你可以得到原生的速度,以及对Windows API的直接访问。

我需要安装驱动或者内核模块吗?用户需要有管理员身份吗?

不用。沙箱是一个纯用户模式库,任何用户可以运行沙箱化进程。

如果没有虚拟机,你该怎样用C++实现沙箱?

我们为Windows安全模型划分等级。在Windows里,没有进行系统调用的话,代码不能执行任何形式的I/O(无论是磁盘,键盘,还是显示器)。在大多数系统调用里,Windows执行一些安全检查。沙箱会设置好环境,这样你不愿沙箱化进程执行的动作就会因安全检查而失败。在Chromium中,沙箱就是这样,因此所有访问检查都会失败。

所以一个沙箱化进程(比如渲染器)是如何完成任务的?

某些交流通道会显式暴露给沙箱化进程;这些进程可以从这些通道进行读写。优先级更高的进程可以使用这些通道代表沙箱化进程执行一些动作。在Chromium中,优先级更高的进程通常是指浏览器进程。

Vista没有类似的功能吗?

有的,它被成为信用等级(ILs)。沙箱检测Vista并使用信用等级。主要的不同在于沙箱在Windows XP下良好运行。我们知道的唯一使用信用等级的程序是IE7。换言之,沙箱库会帮你完成对新的Vista安全特性进行分级。

这看起来很干净。我可以在自己的程序里使用沙箱吗?

可以。沙箱对Chromium浏览器没有任何重度依赖,它就是设计用于面向Internet的应用程序。主要的障碍在于你要把你的程序分成至少两个交互进程。一个进程具有比较高的优先级,执行I/O,与用户进行交互;另一个进程基本上没有什么优先权力,并执行不受信任的数据处理。

需要做很多工作吗?

可能需要。但这是值得的,如果你的程序需要处理任意的不受信任的数据时更是如此。你的代码中可能有的任何缓冲溢出或者格式解码缺陷不会自动导致恶意代码对整台计算机造成危害。沙箱不是一个安全银弹,但对于那些恶意使用来说,沙箱是一道强大的最后屏障。

我需要了解什么陷阱吗?

你首先需要记住,你只需要将你完全可控的代码或者完全理解的代码沙箱化。沙箱化第三方代码可能非常困难。例如,你可能不知道第三方代码需要创建临时文件或者弹出警告对话框;除非你显式允许,这些操作不会成功执行。更进一步,第三方组件可以用你预料之外的新形式更新最终用户的设备。

COM, Winsock, 或DirectX在这里又如何? — 我可以使用它们吗?

在绝大多数情况下,不可以。我们不推荐在锁定前使用它们(但也只能在锁定前使用它们)。一旦一个沙箱化进程被锁定,使用Winsock,COM,或者DirectX不是会产生故障就是会彻底失败。

在锁定前是什么意思?沙箱化进程不是从一开始就锁定了的吗?

不是,沙箱化进程并非从一开始就是处于保护之中。沙箱在进程调用LowerToken()后才开始生效。这允许进程启动时有一段时间沙箱化进程可以自由地管理关键资源,加载库,或者读取配置文件。进程需要在它开始与不受信任的数据交互前尽快调用LowerToken()。

注意:如果你的进程被恶意软件感染了,任何在调用LowerToken()后的仍然开放的操作系统句柄会被恶意软件滥用。所以我们不鼓励调用COM或者其他重量级API,它们会为了将来的调用效率遗留一些开放的句柄。

所以你可以调用什么API?

并没有安全API的权威列表。通常,你应该结构化你的代码,这样沙箱化代码可以从管道或共享内存读写或者用其他方式操作数据。在Chromium中,整个WebKit代码都是用这种方式运行的,输出大部分是网页渲染后的位图。你可以将Chromium作为你自己的基于内存或基于管道的IPC的灵感来源。

恶意软件不可以感染管道或共享内存另一端的处理吗?

是的,如果另一端有bug的话,它可以。关键在于,编写和分析一个正确的IPC机制比编写一个web浏览器引擎要简单得多。所以我们将IPC代码做得尽可能简单,并且交由另一端去review。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏伪君子的梦呓

给网线接水晶头

首先,我们要准备好工具和材料,测线器、网线钳,网线、水晶头、剥线器。如果找不到或者没有剥线器,可以选择用网线钳代替剥线器。

450
来自专栏SDNLAB

OpenStack Neutron中的DVR简介与OVS流表分析

本文主要介绍DVR的概念,比较了DVR和非DVR情况下,数据在network节点上的流量变化。同时也介绍了在OpenStack里面如何配置DVR,比较详细地介绍...

34210
来自专栏程序猿DD

使用Spring Boot Actuator、Jolokia和Grafana实现准实时监控

由于最近在做监控方面的工作,因此也读了不少相关的经验分享。其中有这样一篇文章总结了一些基于Spring Boot的监控方案,因此翻译了一下,希望可以对大家有所帮...

31710
来自专栏睿哥杂货铺

基于Go Packet实现网络数据包的捕获与分析

Packet capture is a computer networking term for intercepting a data packet that...

76010
来自专栏后端技术探索

nginx防止DDOS攻击配置(一)

防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就是四层流量攻击和七层应用攻击,...

901
来自专栏小白的技术客栈

公司DNS被攻击及解决办法

DNS服务器被攻击 今天给大家说说我们的DNS服务器被攻击及解决办法。 ? 问题现象 今天上午10:30左右,公司的DNS服务器被攻击,导致平台部分服务不能...

3506
来自专栏IT技术精选文摘

NoSQL和数据可扩展性

介绍 本文提供了一个易于理解和有用的一组有关当前可用NoSQL数据库的信息。 可扩展数据架构 可扩展数据架构已发展用于提高整体系统效率并降低运营成本。 具体的...

2256
来自专栏生信技能树

厦门大学不再提供R语言镜像

深感遗憾,我以前的教程还特意选择了他,比如下面的安装最新版R语言: sudo vi /etc/apt/sources.list# deb http://mirr...

31910
来自专栏服务器安全

DDOS攻击攻击种类和原理

不过这3种攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种...

260
来自专栏IT大咖说

如何利用开源DevOps工具完成云上的自动运维

内容概况 云计算的特点是开箱即用,可以随时的扩缩容,不用考虑硬件的损坏问题,也有丰富的云服务和云平台供我们选择。在本次演讲中,黎山通过实际应用场景为我们讲述了基...

3667

扫码关注云+社区