浏览器沙箱与系统级沙箱有什么具体分别呢?

-oAo-

浏览器沙箱对对网页有用

老机子

zhq445078388 发表于 2012-7-31 19:08
贴上了部分实现代码~ 你瞄一眼
这种方式我感觉比驱动实现更稳定安全啊~

如果单说猎豹的话，我感觉它的驱动只是自己云检测的防护模块！
你也可以手动关闭，关闭后势必安全性受影响！
个人感觉并不影响系统运行速度和开机速度！

zhq445078388

老机子 发表于 2012-8-1 16:03
如果单说猎豹的话，我感觉它的驱动只是自己云检测的防护模块！
你也可以手动关闭，关闭后势必安全性受 ...

没说他不好..只是觉得没意义

BootMgr

跑题好严重，简单来说，系统沙箱要考虑所有未知的程序，在保证隔离的情况下，尽量让其兼容，而浏览器杀向面对的是一个行为已知的环境，通过尽可能的手段让其可以调用的系统调用和功能减少后，通过重定向使其已知的无害行为能正确实现就可以了。
相对来说，浏览器沙箱的安全限制肯定更严格一点，理论上说，目前CHROME的沙箱机制还没有被真正突破过，过去的一些沙箱大多是利用沙箱设置上的一些漏洞（比如某些场景下或者某些功能里没有入沙），或者利用沙箱的无害行为管道的漏洞，这些都不是真正突破CHROME的沙箱
另外，就实现来说，浏览器沙箱多是使用系统自身的机制比如受限TOKEN/JOB/完整性级别等，对进程限制后，再通过重定向机制给予它一定的能力，也就是重定向不是用来保证安全的，而是在安全限制之后能保证功能正常的
而系统沙箱的重定向和限制基本都是驱动实现的（SBIE的文件重定向是RING 3 HOOK实现），重定向同时起到了安全限制和保证功能正常（也即兼容性）的

rjrsky

浏览器沙箱是否就是防止单个网页奔溃影响到其他网页？？？

myzuzong

BootMgr 发表于 2012-8-1 16:41
跑题好严重，简单来说，系统沙箱要考虑所有未知的程序，在保证隔离的情况下，尽量让其兼容，而浏览器杀向面 ...

说到兼容性，说实话360沙箱蛮神奇。像我在win8 8400 x64上安了360，遇到一些直接双击无法运行的程序，在360沙箱内却可以正常运行，，

zhq445078388

BootMgr 发表于 2012-8-1 16:41
跑题好严重，简单来说，系统沙箱要考虑所有未知的程序，在保证隔离的情况下，尽量让其兼容，而浏览器杀向面 ...

好详细

也就是说 浏览器自身是先进行权限审核 类似于低权不能执行高权API一样?

然后为了在安全的前提下保证可以正常实行 而使用了重定向方式?

而系统沙箱则是直接重定向 只有对一些会导致逃逸的API进行限制?
类似这个意思么?