对 COMODO “安全程序”预置规则以及沙盘的一些想法

散人安

　　
　　弹窗是为安全付出的代价。对于大多数用户来说，在追求安全性的同时，也希望弹窗越少越好。

　　对此，Defense+ 安全模式在这两者之间取得了较好的平衡。在该模式下，COMODO 会自动学习安全程序的每一个行为，而不会有弹窗出现。

　　所谓“安全程序”，是指 COMODO 通过数字签名认定的或者由用户加入到“我的安全文件”中的程序。

　　此时，COMODO 会为安全程序自动创建如下规则：

　　

　　需要注意的是，图中的“允许”项其实上是不可修改为“询问”的，因为即便你将图中的“允许”项修改为“询问”，但一旦有触发行为发生，COMODO 又会自动修改回原来的默认规则。

　　这样的默认规则及其很大程度上的不可修改性，对于追求更高安全性和可控制性的用户来说，多少有遗憾，但并不是不可接受的，毕竟，被 COMODO 白名单信任的程序本身的安全性是值得信任的。

　　而有着真正的安全隐患的是，“我的安全文件”中的程序也会被 COMODO 信任为安全程序。

　　我们知道，4.x 的最大改进是多了个自动沙盘，用户可以设置为自动将未识别的程序运行在沙盘中，这一方面几乎阉割了所有病毒和木马，避免其造成实际上的破坏，但另一方面也给众多的正常程序造成了麻烦。解决办法是，当出现弹窗时，选择将该程序运行在沙盘之外。在目前的版本中，这样操作，其实就是将改程序加入到“我的安全文件”中。

　　这些程序包括面向国人的、普遍不讲规矩的国产软件，甚至还包括汉化、破解等非原版软件。对于这些程序，你能接受 COMODO 将其列为安全程序，并为其自动创建的预置安全规则吗？

　　答案显然是否定的。

　　可以说，COMODO 将沙盘外的程序加入到“我的安全文件”中、并信任为安全程序的做法，导致了安全性的降低。在国内普遍不讲规矩、肆意妄为的大环境下，问题尤为突出。

　　解决的方法，我认为，

　　一是建议 COMODO 新增“Sandbox 外的程序”，将运行在沙盘之外的未识别程序卷入到该组，而不是加入到“我的安全文件”；

　　二是建议 COMODO 允许用户修改自动为安全程序创建的预置规则，或者将安全程序的预置规则也来几个级别。比如，有信任签名的保持原预置规则，“我的安全文件”组的则可自定义预置规则。

　　我个人认为理想的预置规则就是全询问，如图：

　　

　　理由是，喜欢用疯狂模式下的用户，大都不会勾选“信任被信任软件商数字签名的应用程序”；安全程序的真正用武之地是在安全模式下，而默认的安全模式下 COMODO 会自动学习安全程序的每一个行为，全询问并不会导致弹窗出现。配合勾选“显示气泡消息”，用户能实时在右下角的消息窗口清楚看到学习了什么行为，进而决定是否手动修改，这样给用户更多的可操控性。

　　PS：生性懒惰的我，极度讨厌弹窗，只肯用安全模式，很看好 COMODO 的沙盘，但由于上述原因，又不能用，实在是遗憾啊。翻来覆去，没发现 COMODO 哪里可以修改为安全程序自动创建的预置规则，就写了这篇文章。

　　如果大家觉得合理，劳烦管理员或哪位热心的朋友上报到 COMODO 论坛。我的英文不用已经很久了。⊙﹏⊙b汗

　　此外，有没有谁知道 COMODO 安全程序预置规则保存在哪，能自行修改吗？

pastport

总觉得有矛盾
为什么要排除到沙盘外呢
自动加入沙盘
默认limited就是你所想要的sandbox外规则效果

要按你说的流程走也行
先写好sandbox外规则
用疯狂模式
第一次弹框就选择你定义的sandbox外规则
也就这么一次弹框选择嘛  

散人安

回复2楼：

1，我用的 Total Commander 、VIA Envy24 声卡驱动、AkelPad 、eMule Xtreme MOD 等等，这些都没有被 COMODO 信任的数字签名，但这些显然不合适放在沙盘中运行。

2，我不满的是要将一个程序设置为沙盘外运行，就意味着将该程序加入到“我的安全文件”，而“我的安全文件”中的程序被 COMODO  认为是安全程序，并自动套用 COMODO 预置的那个规则，而该规则有太多的“允许”。并且，这些“允许”项不能真正的改成“询问”，即便你暂时改成“询问”，在安全模式下，一旦有行为触发，又会自动修改为“允许”。

accordion

回复 3楼 iuanog  的帖子


    其实，真的很奇怪，为什么你一定要强迫安全程序做你想做的事呢，既然这样，你还不如直接调f疯狂档，然后给你信任的程序编辑你想要的规则不就可以了？为什么还要调到安全模式？

你说了你看好沙盘，但COMODO把他们就放到沙盘外就直接信任你又不喜欢，那你直接关掉沙盘的启发不就可以了么，等到你需要的时候再按右键“运行沙盘内”不就行了吗，干嘛还要选来选去？多费劲。

如果你只是要安全的话，直接一个影子系统，安全不费劲，也就不需要什么沙盘了



注：现在冒充签名的病毒多了，还信任他们？直接一个小病毒就把你搞定了，那么HIPS就形同虚设

散人安

回复 4楼 accordion  的帖子

“很奇怪”“一定要强迫”……

其实，我也真是“很奇怪”，你为什么“一定要强迫”我不能用安全模式？为什么“一定要强迫”我关掉沙盘的“启发”？为什么……

可见，每个人总习惯从自己的思路去评判别人，而不是就事论事。

好了，下面不口水。

我觉得，你之所以觉得很奇怪，是因为你推崇的是疯狂模式，而我推崇的是安全模式。

是的，数字签名可以冒充，仅此一点，“信任被信任软件商数字签名的应用程序”、“安全程序”和安全模式就都是不安全的，连谈都不必谈了。唯一的、正确的选择就是疯狂模式。

这是追求“绝对”安全的思路。对此我认同。

但我为什么不能用安全模式？疯狂模式那么多弹窗不烦吗？再则说，好的习惯比疯狂模式强多了。在我的电脑上，只有一款非原版软件，其他都是从官方网站下载的原版的软件，没有破解，没有 KeyGen ，没有来历不明的个人软件，连给国人用的国产软件也就安装了两款。上的网站都是固定那么几个，搜索和未知网站用 Chrome。即便没有 COMODO ，我不觉得会招惹到什么病毒。

COMODO 对我的意义在于以尽量少的付出来以防万一。我觉得 COMODO 默认的规则就挺好用的，在极少弹窗的情况下，已经保证了足够大的安全了，而且能约束给国人用的国产软件。用烦不胜烦的弹窗去追求所谓的“绝对”安全，至于吗？别告诉我，你以为用了疯狂模式就绝对不会中招？！不要以极少数的个例去否定绝大多数情况下成立的东西。

我原文的核心讲的是，要将 COMODO 未识别的程序运行在沙盘外，就意味着将其列入到“我的安全文件”中，成为所谓“安全程序”。而国内的环境大家都知道，诸多不规矩的程序要想运行在沙盘之外，就只能将其列为所谓“安全程序”，并自动套用有着太多“允许”的预置规则，而我是特别讨厌国产软件动不动访问一切的恶习，如此就产生矛盾了。这个矛盾，就是我觉得 COMODO 可以改进的地方。

说到这，我要纳闷一个，像你这样推崇疯狂模式的人，有没有想过即便用了疯狂模式，即便关掉了“信任被信任软件商数字签名的应用程序”，在“我的安全文件”中的程序，也会被COMODO 认为是“安全程序”并套用其规则的啊，你居然就不担心其可能的隐患？我很好奇，你的安全文件列表中有没有程序，如果有的话，都有哪些程序？你连对数字签名都那么多顾虑，却允许那些可能不那么安全的“安全程序”有那么多“允许”？

至于你所说直接关掉沙盘的启发免得“费劲”，拜托啊，COMODO 的沙盘关掉了启发，还有什么意义呢，那倒不如禁用，我现在就是直接禁用了。


   

pastport

但奇怪的是LZ啊
疯狂模式弹出来的框又不是只有允许和拒绝两个钮
它还有现成的规则组给你选的啊  
你写好自己的 sandbox外规则
弹出来的时候 选这个不就可以了？
多点一个框都觉得难受？
那再不济 就把ALL APPLICATION那个组改成你所谓的 sandbox外规则不就成了
一旦跳出沙盘
用疯狂模式
就由D+ 这个ALL APPLICATION组决定

accordion

回复 5楼 iuanog  的帖子


    如果你觉得我在疯狂模式下N多弹窗，那我告诉你，我的规则只会在执行新程序和安装的时候才会弹我（也只有几个），更谈不上你说的烦。
我的安全文件里面只有“倒沙子”这个东东，还是罗大人自己编写的，其余没有任何东西。
你觉得沙盘要启发，我很同意，可是毛豆的沙盘你也看见了，什么程序都放在里面，限制了正常功能，我只会在特殊位置永久沙盘和安装的时候使用沙盘。

D+已经足够强大，运用各种手法可以限制国产软件的流氓行为，沙盘作为辅助。一个良好的使用习惯胜于一切杀软和HIPS，你说得对，但是也不是万能的，安全模式的确很好，但也不能完全信任。但我也没说疯狂模式绝对安全，请你不要扭曲我的本意。

你只是一味的依靠沙盘，不管三七二十一就把东西放沙盘里，然后不行的时候就把文件放到沙盘外，那毛豆把东西信任成安全也自然，不能怪沙盘。也不能说矛盾。

病毒进你的电脑也只有三个渠道，U盘，网页，安装，其他的就算是流氓软件，D+也有办法去限制，辅助的是沙盘，不要把两者的关系搞混了。
毛豆是手动HIPS，弹几个窗有什么关系吗？你就为那一两个弹窗而苦恼？安全模式没弹窗，很合适新手，疯狂模式是毛豆功能最大化的体现，D+设了规则，你可以什么弹窗都没有，保护更全面，但也不是什么万能，就好像卖广告，什么东西都有缺点


最后，本人没有权限叫你做一切事情，爱做不做你的事，也没强迫你，个人有个人不同的习惯，只是我想提醒你而已，爱听不听

散人安

回复 6楼 pastport  的帖子

呵呵，今天太有意思了。

我觉得你没弄懂我的意思。

好吧，没弄懂也成。按你的说的试试，开启疯狂模式也好，安全模式也好，记得开启沙盘，并打开自动，再找个没有 COMODO 信任的数字签名的新程序（记得要“新”，不要已经有了安全规则）运行，当 COMODO 沙盘弹出窗口时，你选在沙盘外运行，得，这时，你看会不会有 D+ 窗口弹出？

你再检查下该程序的安全规则，看是不是成了一堆的许可，而只有几项是询问。为什么呢？再好好看我的原文。

至于你说的修改 ALL APPLICATION，拜托啊，你是真没弄懂啊。再强调一次，只要选择在沙盘外运行，就会自动加入到“我的安全文件”，并自动套用安全规则的预置规则。哪里会套用“ALL APPLICATION”？

最好笑的是，你去点开“ALL APPLICATION”，看是什么设定。
   

散人安

回复 7楼 accordion  的帖子

在 3.x 的时代，由于是初次使用，我一直用的是疯狂模式。我知道弹出窗口是多是寡。存在差别的是对多寡的标准，以及是否真的需要手动确认所有这些窗口。

我认为在良好的使用习惯下，与其一个个点击确认那些弹出窗口，倒不如直接让 COMODO 自己决定。反正结果都一样。

至于疯狂模式下弹出窗口是否算多，说一个事实：我用了 4.x 几个月了，到现在还经常在右下角看到有消息窗口提示说自动学习了什么什么规则。。。反正能被 COMODO 信任的软件，让自己选，也会一个个点确认，何必劳烦呢，结果都一样。至于不规矩的国产软件，都不在COMODO 的白名单中吧，还是会逐一询问。两者并不矛盾。

矛盾的产生，是当你需要开启沙盘，同时开启自动后产生的。所有 COMODO 未识别，但弹出窗口时，你选择在沙盘外运行的，就必然成为安全程序，并套用那个有着太多允许的预置规则。这样显然是不合适的。为什么沙盘外程序就一定是安全程序呢？

至于你说你的安全文件中只有一个“倒沙子”，我就明白了，你都没开启沙盘的自动啊！没开启你说什么呀，没开启，我说的矛盾都不存在了。你现在开启后试试，看你的安全文件中会不得不新增多少程序，你再看看这些程序的安全规则变成什么样子了？你放心这些程序的规则变成那样子？

还有啊，什么叫“一味的依靠沙盘，不管三七二十一就把东西放沙盘里”。可笑，你还没弄懂 COMODO 沙盘的意义所在吗？开启自动并不是说什么东西都放沙盘里，而是以防万一出现个什么病毒，COMODO 都能做到将其运行在沙盘中，而造成不了实际上的破坏。我电脑里都是原版的商业程序，为什么要丢沙盘里，就是 QQ 这种流氓，也只需要用安全规则来限制，而不是用沙盘啊。

还有你最后那句话，可笑，自己可以说话不好听，还不许人对你说话直接啊。
   

accordion

回复 9楼 iuanog  的帖子


    对不起，本人的沙盘是开启了，但是没开启发，安全文件一个都没有。
病毒什么的你不干什么啥都没有，我强调过了，毛豆实在的手动HIPS，弄得弹窗一个都没有还不如去用TF。病毒传播的几个途径，控制好了，你还那么担心干吗，毛豆沙盘的自动启发，可以说是预防，但实际上，是用不到的，你是用平常软件的时候需要沙盘吗？既然都有D+了，你还需把你所谓的流氓软件放沙盘里面吗？你浏览器的时候什么东西都是虚化的，U盘永久沙盘，或者直接拦截，安装的时候可能就需要一下，何必要开启那启发（启发固然不错，但是毛豆的那个启发始终有点太敏感）

放进沙盘里的安全文件，在疯狂模式下，至少是默认模式，只要你不记住，都不会产生你所谓的规则。安全文件动作奇缺会被认为安全，但是，那并不是所有都安全，安全文件都会受规则影响。

“还有你最后那句话，可笑，自己可以说话不好听，还不许人对你说话直接啊。”我接受一切人对我的意见，但我不接受别人用一种别样的意见来看我，什么是可笑？