Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Äh

Den ersten Post vom Thread lesen, ab Die Konfiguration

MfG

[blubber]

Das hab ich.

Jedoch möchte ich das die Downloads auf dem Desktop landen, und automatisches "rauslassen" möchte ich auch nicht. Und da die Nachfrage, ob ich Datei xy aus der Sandbox rauslassen möchte nicht kommt, dachte ich, ich frag mal hier. 

[subset]

Naja,

dann muss etwas anderes Schuld sein

Hast du in dem Fenster etwas aktiviert?

 SBEinstellungen.png ( 46.38KB ) Anzahl der Downloads: 85


Wenn ja, dann könnte das deine anderen Einstellungen überlagern.

MfG

[rolarocka]

@blubber Du hast was bei "Ressource Access" - "File Access" was verstellt. Die standard Konfiguration von Sandboxie fragt immer nach ob du das heruntergeladene "recovern" willst.
Oder du hast es hier abgeklickt:

dann komm die abfrage auch nicht mehr.

Der Beitrag wurde von rolarocka bearbeitet: 15.07.2008, 22:52

[rolarocka]

Wofür ist eigentlich "read-only Access" in den Einstellungen? Ich dachte Sandboxie ist aus prinzip nur read only und schreibt die veränderungen dann alle innerhalb der Sandbox.

Der Beitrag wurde von rolarocka bearbeitet: 15.07.2008, 23:01

[subset]

Wofür ist eigentlich "read-only Access" in den Einstellungen? Ich dachte Sandboxie ist aus prinzip nur read only und schreibt die veränderungen dann alle innerhalb der Sandbox.

Das funktioniert etwas anders.
Sandboxie kopiert alle Dateien die ein Programm X anfordert in die Sandbox hinein.
Diese Dateien können dann normal durch das Programm X in der Sandbox verändert werden.
Mit "read-only Access" wird die Veränderung verboten, nur der Lesezugriff auf die Dateien ist somit für Programm X erlaubt.

MfG

[Peter 123]

Zunächst ein Hallo an alle und ein großes Dankeschön an subset für seine ausführliche und informative Beschreibung von Sandboxie. Ich verwende sie zwar schon seit mehreren Monaten, bisher aber eher intuitiv. Jetzt werde ich das Ganze einmal anhand der Konfigurationshinweise von subset nachvollziehen. Einiges an dem (an sich von mir sehr geschätzten) Programm gibt mir nämlich noch Rätsel auf.

Gleich einmal eine Frage zum Beitrag von "rolarocka":

@blubber Du hast was bei "Ressource Access" - "File Access" was verstellt. Die standard Konfiguration von Sandboxie fragt immer nach ob du das heruntergeladene "recovern" willst.
Oder du hast es hier abgeklickt:

dann komm die abfrage auch nicht mehr.

Ich stelle das entsprechende Fenster von Sandboxie zunächst hier nochmals in der deutschen Fassung herein. Damit wird das Ganze ja doch verständlicher:



rolarocka, ich nehme an, mit "abklicken" meinst du das Entfernen des Hakens bei "Sofortige Wiederherstellung aktivieren". Das stimmt mit meinen eigenen Erfahrungen überein: Bei mir ist der Haken nicht entfernt, und es kommt jedes Mal die Abfrage (was ich auch wünsche).

Mir ist aber die Funktionsweise dieser Einstellung sprachlich-logisch nicht klar:
Der Haken ist gesetzt, die "Sofortige Wiederherstellung" also aktiviert, aber dennoch wird zuvor nachgefragt. Umgekehrt: Wird der Haken entfernt (= "Sofortige Wiederherstellung" nicht aktiviert), dann landet der Download anscheinend (dennoch) sofort und ohne Nachfrage am Desktop?? (Ich habe es jetzt nicht ausprobiert).

Habe ich da einen Denkfehler, oder ist das bei Sandboxie so verwirrend formuliert??

Der Beitrag wurde von Peter 123 bearbeitet: 19.07.2008, 06:58

[rolarocka]

Mit Sandboxie landet erst einmal alles in der Sandbox. Hast du diese Option (Standardeinstellung) fragt Sandboxie ob du das heruntergeladene in das eigentliche System "wiederherstellen" willst. Wiederherstellen ist in der Tat etwas irreführend denn Sandboxie verschiebt das ganze nur und stellt nichts wieder her. Wenn du "sofortige Wiederherstellung" deaktiviert hast dann müsste alles wie gesagt in der Sandbox landen und auch dort bleiben. Ausser du hast für das jeweilige Programm unter "ressource access - file access" was anderes eingestellt, dann stellt er es auch wieder her auch wenn du "sofortige Wiederherstellung" deaktiviert hast.

Der Beitrag wurde von rolarocka bearbeitet: 19.07.2008, 10:09

[Peter 123]

Danke, rolarocka. Ein bisschen besser blicke ich durch.

Das halte ich ja für einen Hauptmangel von Sandboxie: Die teilweise merkwürdigen Formulierungen, schon im englischen Original, zu denen dann leider in der deutschen Übersetzung noch ein paar weitere dazukommen. Das wurde mir jetzt bewusst mit dem, was du zum Begriff "Recovery" geschrieben hast.

Es geht in der Tat nicht wirklich darum, etwas "wiederherzustellen", sondern vielmehr darum, Inhalte aus der Sandbox (genauer: aus in der Sandbox angelegten Ordnerkopien) in die Originalordner auf der Festplatte zu verschieben (wie du es formuliert hast), oder - noch plastischer ausgedrückt - diese Inhalte (Dateien) zu "retten", sodass sie mit dem Leeren/Schließen der Sandbox nicht verloren gehen. (Laut Wörterbuch heißt "recovery" ja unter anderem sogar "Rettung"!)

Und für dieses Wiederherstellen/Verschieben/Retten bietet Sandboxie unter "Sandboxeinstellungen" zwei Möglichkeiten an:

1. Etwas, das (völlig irreführenderweise) als "Quick Recovery" ("Schnelle Wiederherstellung") bezeichnet wird:



Ich schreibe "irreführenderweise", denn im obigen Fenster geht es eigentlich nicht um irgendeine "schnelle" Wiederherstellung:
Zunächst einmal ist im Text unter der Überschrift - entgegen deren Wortlaut - nicht nur von der (manuell zu startenden) "Schnellen Wiederherstellung" die Rede, sondern auch von der (sozusagen "späten") Wiederherstellungsmöglichkeit erst beim Leeren der Sandbox. In diesem Fenster werden also zwei Fälle behandelt, von denen nur einer die "Schnelle Wiederherstellung" ist. Aber auch bei der manuell gestarteten Wiederherstellung (die ich ja jederzeit vornehmen kann), hätte man das "quick" aus Gründen der Verständlichkeit besser weggelassen.

Was im Fenster "Quick Recovery" behandelt wird, ist nichts anderes als sozusagen die "regular recovery" ("reguläre Wiederherstellung/Verschiebung/Rettung") - vorgenommen entweder beim Leeren der Sandbox oder manuell.

Und der Text dazu sollte eigentlich (schon im Englischen und dann auch in der Übersetzung) ungefähr so lauten (wenn ich das von subset beschriebene Prinzip von Sandboxie richtig verstanden habe):

"Bevor eine Sandbox geleert wird oder die Wiederherstellung ([besser:] das Verschieben/die Rettung) manuell gestartet wird, werden die Sandbox-Kopien folgender Ordner auf wiederherzustellende ([besser:] zu verschiebende / zu rettende) Inhalte geprüft und diese Inhalte gegebenenfalls zur Auswahl angezeigt:

... (dann käme wieder die Liste mit den Ordnern)"

2. Die andere Wiederherstellung ("Immediate Recovery" / "Sofortige Wiederherstellung") wäre damit schon terminologisch viel klarer von der ersten Variante unterscheidbar, weil es das Wort "quick"/"schnell" in Variante 1 gar nicht gäbe.

Das betreffende Fenster sieht derzeit so aus:



Und hier sollte der Begleittext besser wohl ungefähr wie folgt lauten:

"Die sofortige Wiederherstellung ([besser:] sofortige Verschiebung / sofortige Rettung) ermöglicht das Wiederherstellen (Verschieben/Retten) von Sandbox-Inhalten, sobald diese Inhalte in der Sandbox anfallen."

Das Wort "ermöglicht" erscheint mir deshalb wichtig, weil ja auch bei dieser Sofort-Option die Verschiebung nicht automatisch erfolgt, sondern prinzipiell erst dann, wenn man die entsprechende Nachfrage bestätigt hat (Ausnahme: andere Einstellungen unter "Ressource Access" = "Ressourcenzugriff") (siehe oben die Diskussion blubber und rolarocka).

So, ich habe das einmal zusammengeschrieben, weil es vielleicht auch für andere hilfreich ist, die sich - so wie ich - mit dem Verständnis der Sandboxie schwertun. Außerdem waren die bisherigen Beiträge in diesem Thread doch noch stark an der englischen Version von Sandboxie orientiert. Die deutsche gibt es ja noch nicht lange.

Subset (und alle anderen Expert/innen für Sandboxie) mögen mich bitte korrigieren, wenn ich irgendwo Unsinn geschrieben haben sollte.

Der Beitrag wurde von Peter 123 bearbeitet: 19.07.2008, 12:41

[rolarocka]

Wenn man sich überlegt warum der entwickler das Recovery nennt und nicht anders ist es eigentlich ganz logisch. Sandboxie wird dazu benutzt um alles vom eigentlichen system abzuschotten. Also alles was in eine Sandbox kommt ist eigentlich auch restlos verloren und muss auf wunsch "wiederhergestellt" werden.

Der Beitrag wurde von rolarocka bearbeitet: 19.07.2008, 13:00

[subset]

Das halte ich ja für einen Hauptmangel von Sandboxie: Die teilweise merkwürdigen Formulierungen, schon im englischen Original, zu denen dann leider in der deutschen Übersetzung noch ein paar weitere dazukommen.

Die englische Version mit ihren Ausdrücken ist allein die Angelegenheit von Ronen Tzur.
Die ursprüngliche deutsche Übersetzung war von Brummel und meiner Meinung nach verständlicher als die finale Version jetzt.
Bloß die hat Ronen Tzur nicht gefallen und er hat Teile der Ursprünglichen mit Übersetzungstools "überarbeitet".
Die ganzen Fehler galt es dann wieder zu korrigieren und wegen einiger eigenwilliger Übersetzungen zu feilschen.
Nachzulesen hier: http://www.sandboxie.com/phpbb/viewtopic.php?t=3386

Du kannst aber natürlich eine neue Übersetzung machen und Ronen Tzur davon überzeugen, dass deine besser ist als die Jetzige.

MfG

Der Beitrag wurde von subset bearbeitet: 19.07.2008, 21:42

[Peter 123]

Du kannst aber natürlich eine neue Übersetzung machen und Ronen Tzur davon überzeugen, dass deine besser ist als die Jetzige.

Für eine solche Überzeugungsarbeit reichen meine Englisch-Kenntnisse nicht, und ich bin auch mit den Details von Sandboxie zu wenig vertraut, um eine ausgereifte Übersetzungsalternative bieten zu können. Aber vielleicht lassen sich hier ein paar (für mich) unklare Punkte etwas verdeutlichen.

Zum Beispiel die Sache mit dem Menüpunkt "Internetzugriff" ("Internet Access") unter "Ressourcenzugriff" ("Resource Access"):



subset, du schreibst dazu in deinem ersten Beitrag:

Die [...] Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

- Ich habe unter "Internetzugriff" gar nichts eingetragen, also nicht einmal meinen Browser (Firefox). Dennoch kann ich ihn problemlos in der Sandbox benützen, ebenso wie andere Anwendungen; zum Beispiel "Adobe", wenn ich (in der Sandbox) eine pdf-Datei-öffnen will. Worin liegt dann eigentlich der Unterschied zwischen Eintragung und Nicht-Eintragung eines Programms unter "Internetzugriff"? Geht es da nur um das Nach-Hause-Telefonieren zum Beispiel zwecks Vornahme einer Produktaktualisierung?

- Und auch hier ist mir wieder einmal der Begleittext nicht klar (weder der englische noch der deutsche). Da heißt es:

"Wird dieses Feature aktiviert, haben in diese Sandbox installierte oder heruntergeladene Programme niemals Zugriff auf das Internet, selbst dann nicht, wenn ihr Name auf der Liste steht."

Erstens: Was ist mit der Formulierung gemeint "wird dieses Feature aktiviert ..." ("when this feature is enabled ...")? Immerhin gibt es darüber vier Schaltflächen mit ganz unterschiedlichen Funktionen. Wo muss ich da klicken, um etwas zu aktivieren? Und welches Feature ist überhaupt gemeint?

Zweitens: Es heißt dann, bei Aktivierung des Features hätten die Programme niemals Zugriff auf das Internet, "selbst dann nicht, wenn ihr Name auf der Liste steht" ("even if they match the program name specified above"). Umgekehrt schließe ich aber aus deiner Erläuterung im ersten Beitrag, dass Programme, die in der Liste eingetragen sind, sehr wohl nach Hause telefonieren (dürfen), also jedenfalls Internetzugriff haben. Und das wäre ja auch plausibel; und so steht es ja auch im Fenster, gleich unter der Überschrift. Aber das, was unter den Schaltflächen steht, drückt dann genau das Gegenteil aus.

Der Beitrag wurde von Peter 123 bearbeitet: 19.07.2008, 20:27

[subset]

Worin liegt dann eigentlich der Unterschied zwischen Eintragung und Nicht-Eintragung eines Programms unter "Internetzugriff"?Geht es da nur um das Nach-Hause-Telefonieren zum Beispiel zwecks Vornahme einer Produktaktualisierung?

Eigentlich geht es um Sicherheit:
- Ist das Feld frei, dann haben alle Anwendungen, die in dieser Sandbox laufen, Zugriff auf das Internet.
Das ist sehr unsicher, es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken.
- Steht da nur firefox.exe, dann darf auch nur der Firefox Browser Daten ins Internet schicken.
Das ist viel sicherer, da sonst keine Anwendung aus der Sandbox heraus ins Internet senden darf.

Aus Sicherheitsgründen sollte man also hier nur die tatsächlich notwendigen Programme für diese Sandbox eintragen, die unbedingt einen Interzugriff benötigen.
Bei mir steht da nur firefox.exe.

Was ist mit der Formulierung gemeint "wird dieses Feature aktiviert ..." ("when this feature is enabled ...")? Immerhin gibt es darüber vier Schaltflächen mit ganz unterschiedlichen Funktionen. Wo muss ich da klicken, um etwas zu aktivieren? Und welches Feature ist überhaupt gemeint?

Gemeint ist das Feature, das den Zugriff von Anwendungen auf das Internet festlegt.

Name hinzufügen > den Namen einer Anwendung selbst eingeben, z.B. iexplore.exe
Datei hinzufügen > den Pfad zur Anwendung wählen
Alle verweigern > ein Platzhalter zum Verweigern für alle Anwendungen wird gesetzt
Entfernen > alle Einträge löschen (= allen Anwendungen Internetzugriff erlauben)

Es heißt dann, bei Aktivierung des Features hätten die Programme niemals Zugriff auf das Internet, "selbst dann nicht, wenn ihr Name auf der Liste steht" ("even if they match the program name specified above"). Umgekehrt schließe ich aber aus deiner Erläuterung im ersten Beitrag, dass Programme, die in der Liste eingetragen sind, sehr wohl nach Hause telefonieren (dürfen), also jedenfalls Internetzugriff haben. Und das wäre ja auch plausibel; und so steht es ja auch im Fenster, gleich unter der Überschrift. Aber das, was unter den Schaltflächen steht, drückt dann genau das Gegenteil aus.

Es geht hier aber nur um "in diese Sandbox installierte oder heruntergeladene Programme", also nicht um die Programme, die auf deinem echten System installiert sind.

Ein Beispiel: browser.exe und pdf.exe sind beim Internetzugriff eingetragen.
- Sind beide auf deinem echten System installiert, dann haben auch beide aus der Sandbox heraus Zugriff auf das Internet.
- Ist die browser.exe auf deinem echten System installiert und du lädst die pdf.exe in die Sandbox herunter, installierst und startest sie, dann hat diese pdf.exe keinen Zugriff auf das Internet.

MfG

[Peter 123]

Ich fürchte, ich habe es noch immer nicht wirklich verstanden. Aber ich lasse es mal auf sich beruhen bzw. werde es später noch einmal in Ruhe durchgehen.

Ein Punkt hat mich zunächst völlig verwirrt:

Eigentlich geht es um Sicherheit:
- Ist das Feld frei, dann haben alle Anwendungen, die in dieser Sandbox laufen, Zugriff auf das Internet.
Das ist sehr unsicher, es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken.
- Steht da nur firefox.exe, dann darf auch nur der Firefox Browser Daten ins Internet schicken.
Das ist viel sicherer, da sonst keine Anwendung aus der Sandbox heraus ins Internet senden darf.

Aus Sicherheitsgründen sollte man also hier nur die tatsächlich notwendigen Programme für diese Sandbox eintragen, die unbedingt einen Interzugriff benötigen.
Bei mir steht da nur firefox.exe.

Daraus schließe ich:
Wenn keine Anwendung im Feld eingetragen ist, dann haben alle Anwendungen Zugriff auf das Internet.

Und ich hatte bisher immer gedacht, es wäre umgekehrt: Wenn nichts eingetragen ist, dann hat auch nichts Zugriff!!! So habe ich bisher den Satz verstanden, der über dem Feld steht:

"Wenn angegeben, die nachfolgend aufgelisteten Programme haben als einziges Zugriff auf das Internet."
"If specified, the following programs will be the only programs in the sandbox that can access the internet."

Jetzt - nach längerem Überlegen und "Über-5-Ecken-Denken" - ist mir klar, wie dieses Sandboxie-Fenster offenbar gemeint ist. Eigentlich müsste dort in etwa stehen:

"In der Standardeinstellung haben alle Anwendungen, die in Sandboxie laufen, Zugriff auf das Internet. Wenn Sie aber wollen, dass bestimmte Programme als einzige Zugriff auf das Internet haben, tragen Sie diese in das folgende Feld ein."

Oder noch simpler und verständlicher wäre es, wenn Ronen Tzur im Fenster "Internetzugriff" zwei gleichwertige Optionen vorgesehen hätte, ungefähr so:

"Welche Anwendungen sollen Zugriff auf das Internet haben?
a) alle [daneben ein Kästchen zum Anklicken]
b) nur die folgenden: .... [und dann das Feld, in das diese Anwendungen einzutragen sind]"

Manche Menschen haben das Talent, auch relativ simple Sachverhalte derartig zu komplizieren, dass sie damit Verwirrung hervorrufen. Spätestens jetzt zähle ich Ronen Tzur dazu.

subset, danke für deine geduldigen Auskünfte. Die haben mir jetzt zwar zur endgültigen Erkenntnis verholfen, dass Sandboxie - was die Verständlichkeit betrifft - kein gutes Programm ist. Andererseits aber weiß ich jetzt dank deiner Erklärungen, dass ich aus Sicherheitsgründen schleunigst firefox.exe (+ opera.exe) in dieses ominöse Feld eintragen sollte. Das werde ich dann jetzt gleich einmal machen.

[subset]

Manche Menschen haben das Talent, auch relativ simple Sachverhalte derartig zu komplizieren, dass sie damit Verwirrung hervorrufen. Spätestens jetzt zähle ich Ronen Tzur dazu.

Sandboxie ist eher so ein Ein-Mann-Unternehmen und Ronen Tzur ist wohl in erster Linie Programmierer/Entwickler.
Da erwartest du doch kein leicht verständliches Programm, oder?

Andererseits aber weiß ich jetzt dank deiner Erklärungen, dass ich aus Sicherheitsgründen schleunigst firefox.exe (+ opera.exe) in dieses ominöse Feld eintragen sollte.

Das betrifft aber nur Programme, die auf das Internet Zugriff haben.

Zusätzlich kannst du noch über einen Befehl in der Sandboxie.ini im Verzeichnis C:\WINDOWS\ verhindern, dass Programme überhaupt in der Sandbox ausgeführt werden.
Der Beginn deiner Sandboxie.ini könnte dann so aussehen:
----------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,firefox.exe
----------------------------------------------------------------

• Die erste Zeile ist für den Internetzugriff - das darf hier nur Firefox
• Die zweite Zeile beschränkt die Prozesse, die überhaupt in der Sandbox ausgeführt werden dürfen. In diesem Fall sind das nur Sandboxie Prozesse (Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe) und Firefox. Jedes andere (Schad-) Programm wird in der Sandbox 'abgewürgt'. Naturlich kannst du diese Angaben erweitern, damit andere Programme auch starten dürfen.

Die meisten erfahrenen Benutzer editieren ohnehin die Sandboxie.ini direkt, auch (wie bei diesem Beispiel) mit Befehlen, die über das Einstellungsfenster gar nicht zugänglich sind.

MfG

[Peter 123]

Ich hätte in dem Zusammenhang zunächst eine prinzipielle Verständnisfrage:

Ich bin ja bisher immer der Meinung gewesen: Eine Anwendung, die in der Sandbox läuft, kann (auf meinem Computer) keinen Schaden anrichten (wenn man von dem Fall absieht, dass einmal ein Schädling aus der Sandbox ausbrechen könnte).

Dann hast du aber geschrieben (bezogen auf das Feld im Menüpunkt "Internetzugriff"):

Eigentlich geht es um Sicherheit:
- Ist das Feld frei, dann haben alle Anwendungen, die in dieser Sandbox laufen, Zugriff auf das Internet.
Das ist sehr unsicher, es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken.
[...]
Aus Sicherheitsgründen sollte man also hier nur die tatsächlich notwendigen Programme für diese Sandbox eintragen, die unbedingt einen Interzugriff benötigen.
Bei mir steht da nur firefox.exe.

Heißt das also: Die Sicherheit des eigenen Computers wird nicht beeinträchtigt, wenn Programme aus der Sandbox heraus Zugriff auf das Internet haben; die Beschränkungen des Internetzugriffs dienen aber dem Schutz anderer Computer vor Schädlingen? Ich schließe das aus deinem Satz: "es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken".

Meine Frage hat folgenden Grund:
Ich habe mir jetzt bei "Internetzugriff" folgende 6 Dateien eingetragen (also mehr als du):

1. drei Browser (Firefox, Opera, Internet Explorer): firefox.exe, opera.exe, iexplore.exe
(Internet Explorer verwende ich zwar so gut wie nie - aber ich denke mir: wenn ich es tue, dann besser mit Sandbox als ohne)

2. drei Messengerprogramme (Skype, Windows Live Messenger, Yahoo Messenger):
skype.exe, msnmsgr.exe, yahoomessenger.exe
Auch hier ist meine Überlegung: Messengerverwendung aus Sicherheitsgründen lieber mit Sandbox als ohne.

Heißt das jetzt z.B: Die Verwendung des Windows Live Messengers ist für mich zwar sicher (weil ich ihn ja in der Sandbox verwende); wohl könnte aber ein Gesprächspartner einen Schädling bekommen, der sich in meinem Messenger eingenistet haben könnte und aus der Sandbox heraus ins Internet verschickt wird? (Während bei mir dieser Schädling mit dem Leeren der Sandbox ja wieder verschwinden würde.)

__________________________________

Und ähnlich meine Frage zu den weiteren Einträgen, die du in der Sandboxie.ini empfiehlst:

Zusätzlich kannst du noch über einen Befehl in der Sandboxie.ini im Verzeichnis C:\WINDOWS\ verhindern, dass Programme überhaupt in der Sandbox ausgeführt werden.
Der Beginn deiner Sandboxie.ini könnte dann so aussehen:
----------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,firefox.exe
----------------------------------------------------------------

• Die erste Zeile ist für den Internetzugriff - das darf hier nur Firefox
• Die zweite Zeile beschränkt die Prozesse, die überhaupt in der Sandbox ausgeführt werden dürfen. In diesem Fall sind das nur Sandboxie Prozesse (Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe) und Firefox. Jedes andere (Schad-) Programm wird in der Sandbox 'abgewürgt'. [...]

Inwiefern ist es denn ein Sicherheitsrisiko, wenn Prozesse bzw. Programme in der Sandbox ausgeführt werden?
Umgekehrt gefragt: Worin besteht das Sicherheitsrisiko, wenn ich unter Sandboxie.ini keine solchen Beschränkungen festlege, wie du sie in deinem Beitrag empfiehlst?

Der Hintergrund meiner Frage ist natürlich folgender: Je mehr Restriktionen man vornimmt, desto schwieriger (bzw. überhaupt unmöglich) wird die Benutzung von Computer bzw. Internet (via Sandboxie).

Der Beitrag wurde von Peter 123 bearbeitet: 20.07.2008, 19:40

[subset]

Heißt das also: Die Sicherheit des eigenen Computers wird nicht beeinträchtigt, wenn Programme aus der Sandbox heraus Zugriff auf das Internet haben; die Beschränkungen des Internetzugriffs dienen aber dem Schutz anderer Computer vor Schädlingen?

Nehmen wir an, über den Browser wird ein Trojaner in die Sandbox heruntergeladen und gestartet.
Sandboxie selbst erkennt keine Trojaner, also ob der Browser Daten ins Internet schickt oder ein Trojaner ist Sandboxie "egal".
Ein Antivirenprogramm würde aber wahrscheinlich den Trojaner erkennen und eine Firewall das Senden der Daten melden.
Wie auch immer, da der Trojaner in der Sandbox gestartet wurde, landen auch alle weiteren Dateien, die der Trojaner eventuell nachläd, in der Sandbox und gehen somit mit dem Leeren dieser verloren.
Aber es besteht natürlich die Gefahr, dass der Trojaner bis dahin deine private Informationen ins Internet schickt, wenn du die Sandbox nicht richtig konfiguriert hast.
Die Sicherheit des eigenen Computers kann also sehr wohl beeinträchtigt werden, vor allem wenn du deine ClosedFilePath, OpenFilePath und ReadFilePath nicht richtig konfiguriert hast, deswegen habe ich die Anleitung "zur Browser Selbstreinigung" ja geschrieben.

Inwiefern ist es denn ein Sicherheitsrisiko, wenn Programme in der Sandbox ausgeführt werden?
...
Je mehr Restriktionen man vornimmt, desto schwieriger (bzw. überhaupt unmöglich) wird die Benutzung von Computer bzw. Internet (via Sandboxie).

Zur ersten Frage: je weniger Programme, desto weniger Risiko und warum soll man etwas erlauben, wenn man es mit einer Zeile in der Sandboxie.ini verbieten kann...

Zur zweiten Frage: Normal solltest du für jeden Browser und Messenger eine eigene Sandbox anlegen.

Am Beispiel Opera:

- Eine neue Sandbox erstellen

 1SBnew.png ( 21.72KB ) Anzahl der Downloads: 8


- Und dieser den Namen Opera geben

 2SBopera.png ( 9.09KB ) Anzahl der Downloads: 7


- Dann eine Verknüpfung erstellen

C:\Programme\Sandboxie\Start.exe /box:Opera C:\Programme\Opera\opera.exe

Fertig ist die Opera Sandbox und nun kann man diese auch nur für Opera entsprechend konfigurieren.

MfG

[Peter 123]

Danke, subset.

Das überzeugt mich jetzt :

Aber es besteht natürlich die Gefahr, dass der Trojaner bis dahin deine private Informationen ins Internet schickt, wenn du die Sandbox nicht richtig konfiguriert hast.
Die Sicherheit des eigenen Computers kann also sehr wohl beeinträchtigt werden, [...]

---> Die Gefahr besteht also für mich, solange die Sandbox nicht geleert ist (und Verbindung mit dem Internet besteht)! Stimmt - ist eigentlich völlig plausibel!

Allerdings noch eine Zusatzfrage: Welche privaten Informationen von mir könnten das sein, solange der Trojaner nur in der Sandbox sitzt? Auf Informationen von der Festplatte dürfte er ja eigentlich keinen Zugriff haben. Was käme also in Frage? Z.B. Passwörter, die ich auf der Tastatur eintippe, während die Sandbox läuft?

Die Sicherheit des eigenen Computers kann also sehr wohl beeinträchtigt werden, vor allem wenn du deine ClosedFilePath, OpenFilePath und ReadFilePath nicht richtig konfiguriert hast, [...]

Das muss ich mir anhand deiner Anleitung im ersten Beitrag noch genau ansehen. Wenn mir etwas unklar ist, werde ich hier wieder nachfragen.

Normal solltest du für jeden Browser und Messenger eine eigene Sandbox anlegen.
Fertig ist die Opera Sandbox und nun kann man diese auch nur für Opera entsprechend konfigurieren.

Werde ich mir auch noch näher ansehen bzw. überlegen. Es wird halt alles so kompliziert und aufwendig, wenn man das System so umfangreich ausgestaltet.

[subset]

Welche privaten Informationen von mir könnten das sein, solange der Trojaner nur in der Sandbox sitzt?
Auf Informationen von der Festplatte dürfte er ja eigentlich keinen Zugriff haben. Was käme also in Frage? Z.B. Passwörter, die ich auf der Tastatur eintippe, während die Sandbox läuft?

Theoretisch kann ein Trojaner auf die meisten privaten Informationen zugreifen, Sandboxie kopiert die benötigten Dateien ja in die Sandbox hinein.
Tut mir leid, aber ohne Zugriffsbeschränkungen auf das Internet und das Limitieren von Prozessen in der Sandbox wird enorm viel Sicherheit verschenkt.

Es wird halt alles so kompliziert und aufwendig, wenn man das System so umfangreich ausgestaltet.

Das war doch das Motto von unserem Altbundeskanzler Fred Sinowatz:
"Es ist alles sehr kompliziert,.."

MfG

[Peter 123]

Das war doch das Motto von unserem Altbundeskanzler Fred Sinowatz:
"Es ist alles sehr kompliziert,.."

Womit er Recht hatte ... Wenn der erst Sandboxie kennen würde ...

Theoretisch kann ein Trojaner auf die meisten privaten Informationen zugreifen, Sandboxie kopiert die benötigten Dateien ja in die Sandbox hinein.
Tut mir leid, aber ohne Zugriffsbeschränkungen auf das Internet und das Limitieren von Prozessen in der Sandbox wird enorm viel Sicherheit verschenkt.

Hmm, dann werde ich doch das mit dem Limitieren der Prozesse auch noch in Angriff nehmen müssen.

Danke vorerst einmal für deine ausgiebige Hilfe. Ich melde mich höchstwahrscheinlich mit neuen Fragen wieder.