【Chromium中文文檔】沙箱FAQ

沙箱FAQ

轉載請注明出處：https://ahangchen.gitbooks.io/chromium_doc_zh/content/zh//General_Architecture/Sandbox_FAQ.html

全書位址

Chromium中文文檔 for https://www.chromium.org/developers/design-documents

持續更新ing，歡迎star

gitbook位址：https://ahangchen.gitbooks.io/chromium_doc_zh/content/zh//

github位址： https://github.com/ahangchen/Chromium_doc_zh

什麼是沙箱？

沙箱是一個允許沙箱程序建立的C++庫，沙箱程序是一種運作在非常限制性的環境中的程序。沙箱程序可以唯一自由使用的資源是CPU周期和記憶體。例如，沙箱程序不能寫磁盤或者顯示他們自己的視窗。它們真正能做的事情由一種明确的政策鎖控制。Chromium渲染器都是沙箱化程序。

沙箱可以保護什麼，不能保護什麼？

沙箱限制了運作在沙箱中的代碼的bug的危害。這些bug不能在使用者的賬号中安裝持久性的惡意軟體（因為寫檔案系統被禁止），這些bug也不能讀取或者從使用者的裝置中盜取任何檔案。

（在Chromium中，渲染器程序是沙箱化的，它們處于這種保護中。Chromium插件還沒有運作在沙箱中，因為許多插件的設計基于這樣一個假設：它們對本地系統有着完全的通路權限。另外也要注意，Chromium渲染器程序與系統相隔離，但還未與網絡相隔離。是以，基于域名的資料隔離還未提供）。

沙箱不能為系統元件（比如系統核心正在運作的元件）中的bug提供任何保護。

沙箱像JVM？

恩，有點像…除了你必須為Java沙箱的優點重寫代碼以使用Java。在我們的沙箱中，你可以向你現有的C/C++應用程式添加沙箱。由于代碼并非執行于虛拟機中，你可以得到原生的速度，以及對Windows API的直接通路。

我需要安裝驅動或者核心子產品嗎？使用者需要有管理者身份嗎？

不用。沙箱是一個純使用者模式庫，任何使用者可以運作沙箱化程序。

如果沒有虛拟機，你該怎樣用C++實作沙箱？

我們為Windows安全模型劃分等級。在Windows裡，沒有進行系統調用的話，代碼不能執行任何形式的I/O（無論是磁盤，鍵盤，還是顯示器）。在大多數系統調用裡，Windows執行一些安全檢查。沙箱會設定好環境，這樣你不願沙箱化程序執行的動作就會因安全檢查而失敗。在Chromium中，沙箱就是這樣，是以所有通路檢查都會失敗。

是以一個沙箱化程序（比如渲染器）是如何完成任務的？

某些交流通道會顯式暴露給沙箱化程序；這些程序可以從這些通道進行讀寫。優先級更高的程序可以使用這些通道代表沙箱化程序執行一些動作。在Chromium中，優先級更高的程序通常是指浏覽器程序。

Vista沒有類似的功能嗎？

有的，它被成為信用等級（ILs）。沙箱檢測Vista并使用信用等級。主要的不同在于沙箱在Windows XP下良好運作。我們知道的唯一使用信用等級的程式是IE7。換言之，沙箱庫會幫你完成對新的Vista安全特性進行分級。

這看起來很幹淨。我可以在自己的程式裡使用沙箱嗎？

可以。沙箱對Chromium浏覽器沒有任何重度依賴，它就是設計用于面向Internet的應用程式。主要的障礙在于你要把你的程式分成至少兩個互動程序。一個程序具有比較高的優先級，執行I/O，與使用者進行互動；另一個程序基本上沒有什麼優先權力，并執行不受信任的資料處理。

需要做很多工作嗎？

可能需要。但這是值得的，如果你的程式需要處理任意的不受信任的資料時更是如此。你的代碼中可能有的任何緩沖溢出或者格式解碼缺陷不會自動導緻惡意代碼對整台計算機造成危害。沙箱不是一個安全銀彈，但對于那些惡意使用來說，沙箱是一道強大的最後屏障。

我需要了解什麼陷阱嗎？

你首先需要記住，你隻需要将你完全可控的代碼或者完全了解的代碼沙箱化。沙箱化第三方代碼可能非常困難。例如，你可能不知道第三方代碼需要建立臨時檔案或者彈出警告對話框；除非你顯式允許，這些操作不會成功執行。更進一步，第三方元件可以用你預料之外的新形式更新最終使用者的裝置。

COM, Winsock, 或DirectX在這裡又如何？ — 我可以使用它們嗎？

在絕大多數情況下，不可以。我們不推薦在鎖定前使用它們（但也隻能在鎖定前使用它們）。一旦一個沙箱化程序被鎖定，使用Winsock，COM，或者DirectX不是會産生故障就是會徹底失敗。

在鎖定前是什麼意思？沙箱化程序不是從一開始就鎖定了的嗎？

不是，沙箱化程序并非從一開始就是處于保護之中。沙箱在程序調用LowerToken()後才開始生效。這允許程序啟動時有一段時間沙箱化程序可以自由地管理關鍵資源，加載庫，或者讀取配置檔案。程序需要在它開始與不受信任的資料互動前盡快調用LowerToken()。

注意：如果你的程序被惡意軟體感染了，任何在調用LowerToken()後的仍然開放的作業系統句柄會被惡意軟體濫用。是以我們不鼓勵調用COM或者其他重量級API，它們會為了将來的調用效率遺留一些開放的句柄。

是以你可以調用什麼API？

并沒有安全API的權威清單。通常，你應該結構化你的代碼，這樣沙箱化代碼可以從管道或共享記憶體讀寫或者用其他方式操作資料。在Chromium中，整個WebKit代碼都是用這種方式運作的，輸出大部分是網頁渲染後的位圖。你可以将Chromium作為你自己的基于記憶體或基于管道的IPC的靈感來源。

惡意軟體不可以感染管道或共享記憶體另一端的處理嗎？

是的，如果另一端有bug的話，它可以。關鍵在于，編寫和分析一個正确的IPC機制比編寫一個web浏覽器引擎要簡單得多。是以我們将IPC代碼做得盡可能簡單，并且交由另一端去review。