Chromium放到sandbox里到底怎么设置。。。

LichEx

前天换了V4，这几天一直再改规则，今天想起来貌似V4还有个沙盘的东东。。。想把浏览器都放进去试试，结果。。。
IE是没问题，可是Chromium除非改无限制，否则连低限制都打不开网页。。。
传说沙盘会无视D+规则是么？
大家有谁能在沙盘里耍Chromium的介绍下经验啊～～～～

xxqxxj

抱歉，我只会用独立的沙盘sandboxie

hikehiking

Chrome不是本身就带独立的沙盘么。。。所有页面都运行在沙盘里
还要把它往沙盘里放？

LichEx

回复 3# hikehiking


    chromium的沙盘没研究过啊。。。我是直接拿来就用的。。。劳烦介绍下？

byxiaochen

把沙盘关了

LichEx

刚查了下chrome的沙盘，貌似功能不完善，不是防病毒的，更偏重防崩溃。。。。
转个帖子，原文是咱卡饭的，只是现在搜不到了。。。

关于Chrome的安全机制（转载）
Chrome采用的是多进程结构,进程类型主要有以下几种：
1）主进程：负责所有资源管理、系统交互，前者包括bookmark、cookie、history管理等；后者包括屏幕绘制、处理keyboard/mouse输入、internet连接等。不在Chrome的sandbox中运行。
2）web渲染进程：负责html解析、javascript执行、image decoding、页面布局等所有和网页相关的任务。所有的此类进程都强制在sandbox中运行。和用户、系统的联系不直接进行（也无法直接进行），而是通过IPC向主进程发送请求。
3）plugin进程：每个plugin对应一个此类进程，动态地创建、销毁。目前的plugin大都需要直接操作系统资源，比如flash plugin会打开摄像头、下载临时文件到硬盘等，所以plugin进程不在sandbox中运行。
4）extension进程：一种特殊的web渲染进程。
sbie、hips一般会hook dll、拦截API，Chrome的sandbox并不是这样的，而是依赖windows本身提供的机制实现。其实windows本身就提供了相关的API，限制进程的权限，比如让进程无法访问任何文件、无法获得用户输入、无法hook其他进程、无法创建子进程等，Chrome的sandbox最大化的利用了这些限制。
通过精心的设计，web渲染进程不直接进行需要权限的操作，正常情况下sandbox并不起作用。但当web渲染引擎的漏洞被攻破，而引起任意代码执行时，sandbox开始发挥威力。
Chrome的sandbox是非常高效、轻量级的，但相应的也有一些限制：
1）它主要防护恶意代码对系统的破坏，对其它类型的安全问题办法不多。比如：恶意代码可以从主进程获得所有的cookie，并通过主进程发送出去。
2）受windows系统的限制，它无法对fat/fat32的文件提供保护，而U盘大多是这种文件格式。理论上恶意代码可以任意操作这些文件。
3）如果windows API本身存在漏洞而被攻破，Chrome的sandbox也自然被穿。
4）plugin进程不受sandbox保护，所以利用plugin漏洞的恶意代码在Chrome上都能发作。
5）.......
Chrome的sandbox虽然也叫沙盘，但和sandboxie完全不是一个概念！Chrome需要其他安全软件辅助运行，包括sandboxie。

白羊座

chrome的沙箱和沙盘不是一回事吧

LichEx

回复 5# byxiaochen


    我现在就关了。。。可是觉得既然存在就有道理，毕竟开着沙盘更安全啊。。。

pastport

comodo 自己的dragon（基于chromium 3
放到V4沙盘都有问题

byxiaochen

回复 8# LichEx
开着沙盘不如关着导入论坛上的规则