Странно… у меня нет.
как браузер запущенный в песочнице comodo получает доступ к explorer или system?не получает он доступ... по крайней мере у меня.
Hause,как можно запустив приложение в подобных песочницах полностью ограничить его от системных функций не потеряв функционал?Уже обсуждалось, что ради безопасности нужно чем-то жертвовать. Вы ведь когда устанавливаете антивирус, жертвуете быстродействием своей системы. :)
Я немного подправил предыдущий пост - у нас с Вами разные системы и могут быть разные результаты, однако отсутствие алертов совсем не означает отсутствие доступа. Как может браузер выходить в сеть без доступа к системным функциям?Вы видите полную виртуализацию?Мое мнение - подобные песочницы обходятся, да, не так легко конечно, но обходятся.А google chrome и работает над тем, чтобы запускать плагины внутри своего процесса, это на самом деле не такая легкая инженерная задача.Именно поэтому надо оставлять работающими плагины только типа PPAPI. В comodo dragon это не реализовано.
Кстати, если у Вас comodo leak test запустился в песочнице, значит он уже загрузил системный драйвер.Ничего он не загружает после запуска. Только после нажатия кнопки Test.
если нет алертов совсем не значит, что нет доступа к системным функциям.Если есть доступ к памяти других процессов не смотря на Sandboxie, и при этом нет алерта от Комодо, это баг. Даже два бага в разных продуктах. Маловероятно. Доказательства есть? Нет. Значит и бага нет. :)
Как может браузер выходить в сеть без доступа к системным функциям?Вы видите полную виртуализацию?Мы ведь говорим не обо всех системных функциях, а о конкретных, в частности межпроцессорном доступе. Для выхода в сеть браузеру эта функция не нужна. А для полной виртуализации существуют виртуальные машины.
Мое мнение - подобные песочницы обходятся, да, не так легко конечно, но обходятся.А google chrome и работает над тем, чтобы запускать плагины внутри своего процессаПесочницы конечно обходятся, но не так часто, как защита google chrome. Создаст гугл свою песочницу - уверен, что её через пару же дней взломают. :)
Запустить тест я и имел ввиду нажать кнопку, а не запустить исполняемый файл.И я не разделяю Вашего мнения про отсутствия багов в этих продуктах.Хорошо, спрошу по другому, как по Вашему мнению получает браузер доступ к системным функциям находясь в подобной песочнице? P.S.У google chrome уже есть песочница,а sandboxie и comodo не платят деньги на соревнованиях по взлому своих песочниц.
В общем случае никак. Уязвимости были, есть, и будут. Человеческий фактор. Методы тестирования ПО не стоят на месте и наплодили их уже кучу, и пытаются автоматизировать, но они все равно не позволяют выявить все дефекты. Развитие методов тестирования улучшило ПО и усложнило трудозатраты на выявление уязвимости, и как следствие стоимость эксплойта, но не отменило его возможности. Тоже самое касается DEP, ASLR, SEHOP, … и прочего что еще придумают в будущем.
Что касается веб-экрана, то он позволит разве что выиграть некоторое время до появления заплатки. Правда перед этим кто то уже должен под эксплоит попасть.
Единственное что может хоть как то противостоять эксплойту это HIPS (проактивная Защита+ у Комодо). Но у нее есть ОООгромный недостаток - опять же человеческий фактор. Для большинства пользователей это не приемлемый вариант, так как она требует настройки на конкретную систему и условия эксплуатации. Никто не хочет отвечать на непонятные вопросы, особенно если они еще и сыплются часто. А если кто и готов, то один не правильный ответ может свести на нет саму идею. Большинство пользователей садится за компьютер решать свои задачи, а не в викторину с проактивкой играть - отключат и, вообще говоря, по своему будут правы.
Песочница это не более чем замаскированная HIPS, как раз и предназначенная для того, чтобы уберечь пользователя от общения с нею, а универсальные правила для песочницы создать затруднительно.
Для того чтобы как то противостоять эксплойтам нужно как минимум своевременно обновлять операционную систему и програмное обеспечение и задействовать все встроенные в ОС защитные механизмы, как то не работать под учетной записью администратора, задействовать политики ограниченного использоваания ПО, не выключать UAC в Виста/7, устанавливать стойкие пароли и.т.п. банальные, но не всеми выполняемые вещи.
Кому некогда/лень/делать мне больше нечего! следить за обновлением ОС и ПО могут попробовать PSI. Ибо пока кое кто до сих пор еще использует старое ПО, не утратят актуальность и эксплоиты многолетней давности.
Экстремалы могут попробовать EMET.
К некоторым (опасным) не имеет доступа вообще. С остальными вероятно взаимодействует не напрямую, а через драйвера/процессы песочницы.
P.S.У google chrome уже есть песочницаТочно, намедни был реализован Pepper Plugin API для Adobe Flash и Pepper PDF Reader. Наверняка его уже взломали. ;)
Hause,как мне кажется,если бы приложение в песочнице работало с системой полностью через драйвер песочницы,мы бы получили полную виртуализацию,мы её имеем?Когда запускаете dragon в песочнице и проигрываете flash,Вы видите процесс плагина в песочнице?Я не видел.О какой полной виртуализации и защите от эксплоитов идёт речь?И песочница,как я понимаю,виртуализирует диск,а не память,а эксплоит получает доступ к браузеру сначала в памяти.Некоторые малварь вообще на диск не записывается.Тогда уже надо защищать процессы самого браузера в памяти,да и песочницы тоже.Насчёт песочницы для плагинов в chrome - вот когда взломают,тогда и поговорим.
Песочница - это изолированная среда исполнения с контролируемыми правами. Изоляция может быть:
Насчёт песочницы для плагинов в chrome - вот когда взломают,тогда и поговорим.[b]artur777[/b], по-вашему гуглопесочница чем-то принципиально отличается от песочницы Комодо или Sandboxie? Она работает в гостевой операционной системе что ли? Песочница для плагинов работает по тому же принципу, что и песочница для движка хрома. А её уже много раз взламывали, вот недавние примеры 1. http://www.dni.ru/tech/2012/3/11/229153.html 2. http://webrowser.ru/bezopasnost/na-pwnium-podrostkov-smog-vzlomat-pesochnicu-google-chrome.html 3. http://my-chrome.ru/2012/03/google-chrome-vzloman-v-ramkax-konkursov-pwn2own-2012-i-pwnium/ Кстати, одним из взломщиков был подросток, школьник, как выразился Hi :)
Вау, да я оказывается экстремал, вот уж никогда бы не подумал.
Hause,я ,в общем, сам знаю какие бывают песочницы, и речь в моем последнем посте шла не совсем про классификацию песочниц. Про школьника - школьник школьнику рознь, надо предложить comodo давать деньги за взлом своих продуктов, было бы очень интересно.
Ну да, Вы возмущались, что песочницы у Комодо и Sanboxie не поддерживают полную виртуализацию, таким образом нет 100% защиты. Я для примера привел другие продукты, которые поддерживают.
Не бывает так, чтоб и овцы были целы и волки сыты. Нужно выбирать оптимальный вариант, и каждый делает это для себя сам исходя их своих знаний, потребностей и степени параноидальности.
Да не возмущался я, просто пытаюсь показать,что веб фильтр нужен как один из элементов защиты.
Да, нужен, но он ведь уже есть и в Хроме, и в Драконе, и в Огнелисе. И это Google Safe Browsing, о котором раньше упоминал Hi. Вы считаете, что нужно использовать дополнительный веб-антивирус? Даже не смотря на то, что 75-80% процентов детекта у них будут дублироваться? И это при том, что 25-30% вредоносных сайтов они даже вместе будут считать безопасными? С таким же успехом можно предложить использовать 2 антивируса в системе. Хотя некоторые так и используют.
Теперь понятно. Hause, Вы серьезно считаете, что google safe browsing заменяет веб экран, например, аваста?Если да,то я теперь пройдусь по этой теме.Я просто не мог даже предположить, что народ так считает.Хочу отметить, что дублирование детекта и качаство детекта - разные вещи. Если Вы установите допустим ClamAV с Касперским. Касперский будет дублировать детект ClamAV, и какой из этого делаем вывод, сносим касперского?Я соглашусь с !H по поводу traffic light,возможно это уже и излишество, если используешь google safe browsing, но к хорошему веб антивирусу такой вывод не относится.
Вот это я и имел ввиду. У них функции полностью дублируются, а качество детекта не очень отличается.
но к хорошему веб антивирусу такой вывод не относитсяЗачем же Вы тогда пользуетесь плохим (не полноценным) веб-антивирусом? По поводу "хорошего" веб-антивируса правильно сказал zil968:
Методы обнаружения у веб экранов и антивирусов принципиально не различаются. Сигнатурный детект и эвристика в теперешнем своем состоянии уже давно со своими задачами не справляются.Поэтому намного эффективней использовать песочницу Комодо, чем веб-экран типа аваст.
Это разные вещи и разные функции. Надо использовать и песочницу и веб экран. Так точно намного эффективнее.
artur777, Вы то должны знать, почему веб-экран avast!, напр., на virustotal.com/url не замечен, в отличии, напр., от Avira…
чехи вообще делятся с народами мира своими чёрно-белыми списками ?
http://s3.hostingkartinok.com/uploads/thumbs/2012/09/7391f89d2e735db48456064d2ac91937.png
:-La напр., в Opera её Петcraft & PhishTank дополняют Google Safe Browsing и даже в отсутствии Тындекса - Yandex Safebrowsing…
Не сказал бы, что именно намного эффективнее, тем более учитывая вопросы стабильности работы песочницы, фаервола и локального прокси-сервера веб-экрана одновременно, о чем Вы сами неоднократно писали, например здесь. В английской ветке тоже пишут о проблемах с совместимостью, например здесь.
Если Комодо займется разработкой своего веб-экрана, это отнимет много ресурсов и сил, необходимых для совершенствования и развития уже имеющихся модулей защиты. Посмотрим, кстати, что будет в версии 6.
К тому же у веб-экрана есть свои минусы
Многие баги в последней сборке аваста уже решены,веб экран настраиваешь на работу только с браузерами,и,в общем,резидентный модуль антивируса не нужен,производительность системы только выигрывает.Ладно,каждому своё,я лично пользуюсь и песочницей и веб антивирусом,и google safe browsing,падение производительности не замечаю.
