アカウント名:
パスワード:
仮想実行(バーチャル)みたいなものだと思うのですがユーザーが介在する実行(このボタンを押したらあなたのファイル全部消えます!みたいな)処理もシミュレート(模擬実行?テスト)してくれるのでしょうか
仮想実行(バーチャル)みたいなものだと思うのですが
それっぽい事は既にやっているのですが、それだけだと充分じゃなかったって話かと。
ここ最近はサンドボックスって言うとざっくり:1) プロセス自身に早い段階で「これからこういうことしますよ」って宣言をカーネル側にさせる(fooとbar以外のファイルにはアクセスしません、等)2) プロセスが自分から「サンドボックス」に入る、で本来の仕事をする3) 予期してなかった同作をしたらカーネルがプロセス強制修了って仕組みを指す事が多いですね。Linuxならseccomp(2)、OpenBSDはpledge(2) 、FreeBSDだとcapsicum(4)。仕様を把握しているユーザーランド側の開発者が自分でポリシー設定できるってところがミソです。あとウイルス検出みたいな用途だとVMよりずっと軽いです。Microsoft Secureの記事、(他の防御策との組み合わせで)似たような事をしてるように見えます(斜め読みです、間違えてたらゴメンなさい)。ウイルススキャン全体を管理する親プロセスと検体を仮想実行する子プロセスがあって、どっちも事前に定義された動作以外は出来ない。
個人的にはFreeBSDのjail(8)的な物の方が語感に合うと思うのですがそっち方面はOS仮想化とかコンテナとかかっこいい名前が付いてしまってサンドボックスって呼ばれるのをあまり聞きません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
サンドボックスってどういう構造? (スコア:0)
仮想実行(バーチャル)みたいなものだと思うのですが
ユーザーが介在する実行(このボタンを押したらあなたのファイル全部消えます!みたいな)
処理もシミュレート(模擬実行?テスト)してくれるのでしょうか
Re:サンドボックスってどういう構造? (スコア:0)
仮想実行(バーチャル)みたいなものだと思うのですが
それっぽい事は既にやっているのですが、それだけだと充分じゃなかったって話かと。
ここ最近はサンドボックスって言うとざっくり:
1) プロセス自身に早い段階で「これからこういうことしますよ」って宣言をカーネル側にさせる(fooとbar以外のファイルにはアクセスしません、等)
2) プロセスが自分から「サンドボックス」に入る、で本来の仕事をする
3) 予期してなかった同作をしたらカーネルがプロセス強制修了
って仕組みを指す事が多いですね。Linuxならseccomp(2)、OpenBSDはpledge(2) 、FreeBSDだとcapsicum(4)。
仕様を把握しているユーザーランド側の開発者が自分でポリシー設定できるってところがミソです。
あとウイルス検出みたいな用途だとVMよりずっと軽いです。
Microsoft Secureの記事、(他の防御策との組み合わせで)似たような事をしてるように見えます(斜め読みです、間違えてたらゴメンなさい)。
ウイルススキャン全体を管理する親プロセスと検体を仮想実行する子プロセスがあって、どっちも事前に定義された動作以外は出来ない。
個人的にはFreeBSDのjail(8)的な物の方が語感に合うと思うのですがそっち方面はOS仮想化とかコンテナとかかっこいい名前が付いてしまってサンドボックスって呼ばれるのをあまり聞きません。