Oglas
Oglejte si aplikacije, ki jih v računalniku največ uporabljate. Več kot verjetno je, da jih veliko število ponuja zelo povezljivo funkcionalnost, predvsem vaš spletni brskalnik. Ti zelo povezani programi lahko naredijo veliko, vendar so tudi odprti povabilo slabih hekerjev za stavko.
Da bi preprečil, da bi stavke postale uspešne, bi razvijalci morali opaziti in zapreti vsako luknjo v kodi, kar preprosto ni mogoče. Namesto tega morajo razvijalci to dejstvo upoštevati in načrtovati kodo. Najpogostejša in učinkovita rešitev: peskovnik.
Pesek v škatli?
Ne, to nisem raje v lokalnem peskovniku, ampak v programski peskovnici. Ti peskovniki imajo en ključni namen: preprečiti širjenje napada. Kot sem že omenil, pametni razvijalci vedo, da koda ni popolna in da bo njihov izdelek sčasoma vdrl ali prodrl drugače. Da bi zaščitili uporabnika, izvajajo peskovnik, ki izolira dele njihovega programa. V bistvu vse, kar se zgodi v peskovniku, ostane v tem peskovniku.
Peskovniki v akciji
Da bi razložili peskovnike v akciji, bom kot glavni primer uporabil Google Chrome. Chrome je eden najpomembnejših izdelkov za izvajanje peskovništva, ki ga Google ponosno označuje kot edinstveno varnostno funkcijo med brskalniki. Google je prevzel Chrome in ga v bistvu razdelil na tri različne kategorije: glavni postopek, ki je povezan vse skupaj, zavihek, ki vsebuje strani in vključuje upodabljalec, in postopek vtičnikov (-i). Vse te kategorije imajo različne ravni dovoljenj, tako da jih je mogoče zagnati, vendar so ta dovoljenja najnižja, tako da so vsi zelo omejeni. Poleg tega se različni procesi med seboj ne morejo v resnici pogovarjati, temveč zgolj obstajajo. Čeprav je na primer vsebina Flash iz vtičnika Flash na strani prisotna, so procesi še vedno ločeni in se med seboj ne pogovarjajo. Prikazovalnik na strani ostane le prostor za prikaz tega procesa. Ta nezmožnost komunikacije je pomembna, ker če se jeziček zruši ali ugrabi, ne more vplivati na druge zavihke niti na sam sistem.
Firefox je preveč, vrsta
Firefox ima tudi funkcijo peskovnika, čeprav je omejen, ločuje pa jo od vtičnikov drugih proizvajalcev, kot je Flash. Medtem ko so brskalnik in vsi njegovi zavihki združeni v en sam postopek, je za vse vtičnike ločen postopek. Pri pristopu Firefoxa bolj zaupajo v lastno kodo kot Googles s Chromom in za morebitne težave z brskanjem prelagajo vtičnike. Če se vtičniki na kakršen koli način zrušijo, na brskalnik in zavihke to ne vpliva.
Razmišljanje zunaj polja
Čeprav je dobra strategija izvajanja peskovnih tehnik v sami kodi programa, obstaja veliko drugih programov, ki nimajo nobenega peskovnika. Namesto tega boste želeli zagnati navidezni peskovnik, v katerem lahko zaženete programe, ki v notranjosti peskovnika lahko povzročijo le toliko opustošenja, da bo vaš sistem v taki obliki. Čeprav je to pogosto mišljeno za testiranje programske opreme, je tudi dobra izbira za zagon spletnega brskalnika ali res katere koli druge programske opreme tam, če ste bolj paranoični (ali vstavite svojo drugo najljubšo besedo tukaj). Zelo priljubljena izbira za to je Peskovnik Kako izolirati in preizkusiti nevarne aplikacije na računalniku Preberi več , vendar obstajajo tudi drugi brezplačni in plačani izdelki, ki lahko dosežejo enako.
Zaključek
Peskovništvo je trenutno ena najbolj vročih tem, ko gre za varnost, in to delo zagotovo opravlja dobro. Seveda se morajo razvijalci vedno osredotočiti na to, da čim bolj izboljšajo kodo, vendar zagotovo ne pomaga, da bi imeli nekaj načrtov za ukrepanje, ko se pojavi težava. Bodite pozorni, da peskovniki še vedno niso popolni, saj je bil Chromeov pesek v Pwn2Own 2012 premagan po nekaj izjemno težkih krajih, vendar so vsekakor veliko boljša izbira kot nobena.
Kakšno je vaše mnenje o peskovnih aplikacijah? Katere izboljšave bi radi videli v spletnih brskalnikih s peskovnikom ali katere aplikacije menite, da potrebujejo peskovnik? Sporočite nam v komentarjih!
Slikovni krediti: Katie Gregory, Ernst Vikne
Danny je starejši na univerzi v Severnem Teksasu, ki ima vse vidike odprtokodne programske opreme in Linuxa.