Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[Gast_J4U_*]

lästig ist das schon, wenn immer dieses Fenster aufpoppt. Und Internetzugriff möchte ich dem Plugin nicht geben.

Man kann halt nicht alles haben.

[stROhKOPf]

Hallo,

also bei mir funktioniert das wunderbar auch ohne, das ich das Plugin extra eintragen muss .
 ____ARD_Mediathek_Sportscha.jpg ( 393.77KB ) Anzahl der Downloads: 22

[Peter 123]

also bei mir funktioniert das wunderbar auch ohne, das ich das Plugin extra eintragen muss .

Eigenartig. Ich habe es jetzt nochmals ausprobiert (genau mit deiner Sendung: Sportschau). Ohne Internetzugriff der Plugin-exe bleibt das Fenster, wo das Video laufen sollte, schwarz. Sobald ich den Internetzugriff erlaube (und die Sandbox neu starte), kann ich das Video problemlos sehen.

stROhKOPf, erscheint bei dir "wenigstens" das Sandboxie-Fenster mit dem Hinweis, dass die Plugin-Exe keinen Internetzugriff hat?

PS: Und du hast die neueste Flashplayer-Version (11.3)? Erst seit dieser gibt es das Problem.

Der Beitrag wurde von Peter 123 bearbeitet: 17.06.2012, 14:06

[Clinton]

Mal ne Frage zu den Einstellungen der Sandbox. Wenn ich unter Programmstart -> Erzwungene Programme den Firefox Ordner 'erzwingen' lasse muß ich dann unter den Beschränkungen die firefox.exe und den plugin-container.exe noch mal extra eingeben oder reicht der Ordner?

thx

[stROhKOPf]

Ja, habe die Aktuelle Version von Flash. Das liegt an dieser neuen Sandbox im Macromed. Wenn man dort in der mms.cfg die empfohlene Zeile hinzufügt, dann deaktiviert man diese und schon läuft alles prima. Ging mir am Anfang auch so, das ich das Plugin in Sanboxie erlauben musste.

@Clinton: Erzwungen heißt doch lediglich, das entsprechendes Programm immer in der Sandbox ausgeführt wird. Und bei Internetzugriff gibst du halt an welche Programm/Teile explizit zugriff haben dürfen. Wenn du das nicht angibst, dann hat quasi alles zugriff und wird nachgeladen.

Der Beitrag wurde von stROhKOPf bearbeitet: 17.06.2012, 14:13

[Peter 123]

Das liegt an dieser neuen Sandbox im Macromed. Wenn man dort in der mms.cfg die empfohlene Zeile hinzufügt, dann deaktiviert man diese und schon läuft alles prima.

Ahaaaa, das hast du zuerst verschwiegen.
Du meinst das hier:

Finally, if these problems are blocking you from using Flash Player we recommend, as a last resort, you either revert back to Flash Player 11.2 or temporarily disable Protected Mode. We strongly recommend that Protected Mode is manually enabled once this issue is resolved.

[...]

To disable Protected Mode, add the following line to your mms.cfg file located in:

Windows 32bit: C:\windows\system32\macromed\flash

Windows 64bit: C:\windows\syswow64\macromed\flash

ProtectedMode=0

If the mms.cfg file does not exist, create one using any standard text editor (e.g.. notepad)

Depending on your operating system, you might need to first save the mms.cfg file to a writable location (such as your documents or desktop folder) and then copy the file into the destination folder using Windows Explorer.

To re-enable Protected Mode, simply remove the line from the mms.cfg file.

[Quelle: http://forums.adobe.com/thread/1018071?tstart=0 ]

Das ist aber auch höchst unbefriedigend, dass man da im FlashPlayer herumbasteln muss, nur um unter Sandboxie alles wie gewohnt laufen lassen zu können. Wieder einmal so ein Fall, wo Neuerungen nur Schwierigkeiten verursachen.

Der Beitrag wurde von Peter 123 bearbeitet: 17.06.2012, 14:24

[stROhKOPf]

Ja, genau das meine ich. Kann dich verstehen, mit dem basteln in Dateien. Die Updates kommen immer schneller, niemand spricht sich mehr ab und dann passiert sowas. Was machen nur Leute, die nicht in Foren unterwegs sind und von PC´s nicht viel verstehen ...?

[Clinton]

@Clinton: Erzwungen heißt doch lediglich, das entsprechendes Programm immer in der Sandbox ausgeführt wird. Und bei Internetzugriff gibst du halt an welche Programm/Teile explizit zugriff haben dürfen. Wenn du das nicht angibst, dann hat quasi alles zugriff und wird nachgeladen.

Danke! Das dachte ich mir zwar und habe es auch so stehen, ich frag aber immer lieber noch mal nach.

[SLE]

Ja, habe die Aktuelle Version von Flash. Das liegt an dieser neuen Sandbox im Macromed. Wenn man dort in der mms.cfg die empfohlene Zeile hinzufügt,

Stopp! Empfohlen ist hier nichts. Die Zeile protectedmode=0 deaktiviert die Flash eigene Sandbox (und wenn man dies an der Originaldatei macht auch systemweit!) Das deaktivieren war lediglich ein Workaround für den Bug mit FF13, der mittlerweile durch FF13.01 behoben wurde. Deshalb sollte man die Zeile wieder löschen.

Das ist aber auch höchst unbefriedigend, dass man da im FlashPlayer herumbasteln muss, nur um unter Sandboxie alles wie gewohnt laufen lassen zu können. Wieder einmal so ein Fall, wo Neuerungen nur Schwierigkeiten verursachen.

Quatsch. Man soll und muss eben nicht im Flash Player herumbasteln! (s.o.)
Wenn Adobe den FlashPlayer sicherer macht ist es doch erstmal positiv. Wenn Sie das in einen weiteren Prozess auslagern kann das sogar sinnvoll sein.
Das man wenn man eine restriktive Sandbox hat diesen Prozess zu den Berechtigungen dazufügen sollte liegt in der Natur der Sache. Unsicherer wird damit nichts, gefährlicher ist da eher die (aus Komfortgründen notwendige) Erlaubnis der plugin-container.exe. Und auch deren Einführung erforderte damals eine Änderung restriktiver Sandboxeinstellungen. Neuerungen erfordern eben manchmal Anpassungen - nicht nur bei Software ;-)

Kurz: Das setzen von protectedmode=0 in der mms.cfg und das nichterlauben der FlashPlayerPluingxxx.exe ist das gefährlichere Vorgehen, als andersrum.

Edit: Das permanente Ausblenden der Meldung funktionierte in meinem Test eben.

Mal ne Frage zu den Einstellungen der Sandbox. Wenn ich unter Programmstart -> Erzwungene Programme den Firefox Ordner 'erzwingen' lasse muß ich dann unter den Beschränkungen die firefox.exe und den plugin-container.exe noch mal extra eingeben oder reicht der Ordner?

In diesem Fall unnötig, es reicht die firefox.exe zu erlauben, der Rest der von ihr gestartet wird läuft automatisch in der Sandbox (Rechtevererbung) - sofern in den Sandboxbeschränkungen nicht eingeschränkt

Sinn macht diese Option z.B. für einen Ordner dem man oft neue Dateien speichert, die man lieber erst in einer Sandbox probiert.
Bei mir hat der gesandboxte Mailclient z.B. direkten Zugriff auf einen Festplattenordner für die Anhänge. Alles in diesem Ordner wird wiederum zum Start in einer eigenen Sandbox erzwungen. Dasselbe Prinzip gilt hier für nichteigene USB Sticks (erzwungener fester LW Buchstabe mit USBDLM) und Browserdownloads.

Der Beitrag wurde von SLE bearbeitet: 17.06.2012, 15:38

[Gast_claudia_*]

Hallo,

also bei mir funktioniert das wunderbar auch ohne, das ich das Plugin extra eintragen muss .
 ____ARD_Mediathek_Sportscha.jpg ( 393.77KB ) Anzahl der Downloads: 22

komischerweise bei mir auch ohne an der Flash rumgefummelt zu haben.
(neuster FF, Flash und Sandboxie)

[SLE]

komischerweise bei mir auch ohne an der Flash rumgefummelt zu haben.
(neuster FF, Flash und Sandboxie)

Was steht bei dir in der entsprechenden Sandbox unter Beschränkungen: "Internetzugriff" und "Start-Ausführen-Zugang"

Der Beitrag wurde von SLE bearbeitet: 17.06.2012, 16:41

[Gast_claudia_*]

firefox.exe und der plugin-contaner.exe im Internetzugriff und Start-Ausführen- Zugang zusätzlich suran.exe

Der Beitrag wurde von claudia bearbeitet: 17.06.2012, 16:59

[SLE]

Mhm, wenn du dann auch die allerneueste Flash Version hast bin ich etwas ratlos. Vielleicht liegt es an XP.

[Gast_claudia_*]

XP oder Suran wg. den Rechten im Programm???

[Damnatus]

Noch etwas anderes das mir aufgefallen und gerade wieder eingefallen ist:
Seit es in Skype mal eine Sicherheitslücke gab, führe ich es ebenfalls in einer Sandbox aus. Seit Skype 5.8, glaube ich, will in der Sandbox auch die ielowutil.exe in der Sandbox starten.
Nachdem ich SLE's Post gelesen habe, dass es gut ist dass Adobe die Sandbox in einen eigenen Prozess auslagert, habe ich die Vermutung das Skype etwas ähnliches über die ielowutil.exe macht. Obwohl Skype auch ohne erlauben des Prozesses funktioniert, denke ich nun, dass vll. sinnvoll wäre ielowutil.exe in der Sandbox zuzulassen auch wenn ich die Funktion nicht verstee warum Skype diesen Prozess braucht.

[Peter 123]

Die Zeile protectedmode=0 deaktiviert die Flash eigene Sandbox (und wenn man dies an der Originaldatei macht auch systemweit!)

[...]

Wenn Adobe den FlashPlayer sicherer macht ist es doch erstmal positiv. Wenn Sie das in einen weiteren Prozess auslagern kann das sogar sinnvoll sein.
Das man wenn man eine restriktive Sandbox hat diesen Prozess zu den Berechtigungen dazufügen sollte liegt in der Natur der Sache. Unsicherer wird damit nichts, gefährlicher ist da eher die (aus Komfortgründen notwendige) Erlaubnis der plugin-container.exe. Und auch deren Einführung erforderte damals eine Änderung restriktiver Sandboxeinstellungen. Neuerungen erfordern eben manchmal Anpassungen - nicht nur bei Software ;-)

Kurz: Das setzen von protectedmode=0 in der mms.cfg und das nichterlauben der FlashPlayerPluingxxx.exe ist das gefährlichere Vorgehen, als andersrum.

Dazu hätte ich ein paar Fragen:

1. Wieso hat denn der Flashplayer bisher in der (Sandboxie-)Sandbox funktioniert, ohne dass man der Plugin.exe eigene Berechtigungen (zum Starten bzw. zum Zugriff aufs Internet) einräumen musste? Das entsprechende Plugin gabs ja auch schon bisher (verwirrenderweise heißt es "Shockwave Flash").

2. Der Flashplayer hat nun offenbar seine eigene Sandbox - bisher hatte er keine. Dafür gab es Sandboxie, in deren Sandbox man den Flashplayer laufen lassen konnte. Dein Resumee, nämlich:

Das setzen von protectedmode=0 in der mms.cfg und das nichterlauben der FlashPlayerPluingxxx.exe ist das gefährlichere Vorgehen, als andersrum.

bedeutet dann aber doch eigentlich, dass du die Sandboxie-Sandbox für weniger sicher hältst als die neue Flashplayer-eigene Sandbox - oder interpertiere ich da etwas falsch? Anders gefragt: Warum ist es jetzt gefährlicher als früher, den Flashplayer nur in der Sandboxie-Sandbox laufen zu lassen? Wenn ich die Flashplayer-Sandbox deaktiviere (auf die oben beschriebene Weise), kann ich ja den Flashplayer offenbar weiter in der Sandboxie-Sandbox laufen lassen wie bisher (ohne einem Plugin neue Berechtigungen einräumen zu müssen). Also müsste doch das bisherige Sicherheitsniveau eigentlich aufrecht bleiben. Die Flashplayer-Sandbox würde doch damit letztlich nur für jene Leute Sinn machen, die den Flashplayer bisher außerhalb einer Sandbox (von Sandboxie oder einem anderen Anbieter) verwendet haben.

3. Wenn durch das Erlauben der FlashPlayerPlugin.exe in der Sandbox "nichts unsicherer wird", wie du schreibst: beziehst du dich damit nur auf eine Start/Ausführen-Erlaubnis in der Sandbox, oder gilt das auch, wenn man dieser plugin-exe (zusätzlich) Internetzugriff gewährt? Würdest du also der plugin.exe im Bedarfsfall auch den Internetzugriff gestatten?

4.

gefährlicher ist da eher die (aus Komfortgründen notwendige) Erlaubnis der plugin-container.exe

Das heißt, man sollte der plugin-container.exe besser keine Berechtigung in der Sandbox einräumen? Und wenn man es doch macht: Was kann konkret passieren?
__________________

PS:

Mir ist das jetzt zu dumm geworden:

Laufend Browserabstürze in der Sandbox, wenn der FlashPlayer läuft, obwohl die Plugin-exe ohnedies die von Sandboxie geforderten Berechtigungen hat.

Jetzt habe ich es gemacht wie stROhKOPf:
Die Flashplayer-Sandbox (Flashplayer-Schutzmodus) wie oben beschrieben deaktiviert, und der FlashPlayer-Plugin.exe wieder sämtliche Berechtigungen bei Sandboxie entzogen. ---> Alles läuft wieder gewohnt reibungslos.

(SLE, meine Fragen sind natürlich trotzdem noch aktuell für mich. Jetzt erst recht, sozusagen.)

Der Beitrag wurde von Peter 123 bearbeitet: 18.06.2012, 01:47

[Peter 123]

Hallo,
also bei mir funktioniert das wunderbar auch ohne, das ich das Plugin extra eintragen muss .

komischerweise bei mir auch ohne an der Flash rumgefummelt zu haben.
(neuster FF, Flash und Sandboxie)

Mhm, wenn du dann auch die allerneueste Flash Version hast bin ich etwas ratlos. Vielleicht liegt es an XP.

So ist es. Soeben zufällig entdeckt:

Eine andere Möglichkeit zur Abhilfe besteht darin, den Protected Mode zu deaktivieren. Hierfür muss man unter Windows 7 oder Vista die Konfigurationsdatei "mms.cfg" um die Zeile "ProtectedMode=0" ergänzen. Da der Protected Mode bei Windows XP grundsätzlich nicht zum Einsatz kommt, kann man sich den Schritt hier sparen.

[Quelle: http://www.heise.de/newsticker/meldung/Ver...ln-1619022.html ]

[SLE]

1. Wieso hat denn der Flashplayer bisher in der (Sandboxie-)Sandbox funktioniert, ohne dass man der Plugin.exe eigene Berechtigungen (zum Starten bzw. zum Zugriff aufs Internet) einräumen musste? Das entsprechende Plugin gabs ja auch schon bisher (verwirrenderweise heißt es "Shockwave Flash").

Weil die FlashPlayerxxx.exe mitsamt Sandbox neu ist. Gab es vorher nicht.

2. Der Flashplayer hat nun offenbar seine eigene Sandbox - bisher hatte er keine. ... dass du die Sandboxie-Sandbox für weniger sicher hältst als die neue Flashplayer-eigene Sandbox - oder interpertiere ich da etwas falsch? Anders gefragt: Warum ist es jetzt gefährlicher als früher, den Flashplayer nur in der Sandboxie-Sandbox laufen zu lassen? ...

Du interpretierst mich völlig falsch...
a) Die Deaktivierung wirkt auch, wenn Flash mal nicht in der Sandbox läuft. Deshalb potentiell unsicher.
b) Ich halte Sandboxie nicht für unsicherer bzw. schlechter als das, was Flash mitbringt, im Gegenteil. Nur warum die Flash eigenen Schutzmechanismen aushebeln, wenn sie nicht mehr (im vgl. zu FF13) wirklich stören? Warum Fortschritte nicht nutzen? Warum Sicherheitsmechanismen aushebeln, nur weil man einen weiteren hat.

3. Wenn durch das Erlauben der FlashPlayerPlugin.exe in der Sandbox "nichts unsicherer wird", wie du schreibst: beziehst du dich damit nur auf eine Start/Ausführen-Erlaubnis in der Sandbox, oder gilt das auch, wenn man dieser plugin-exe (zusätzlich) Internetzugriff gewährt? Würdest du also der plugin.exe im Bedarfsfall auch den Internetzugriff gestatten?

Ja, wenn ich Flash verwende würde ich auch den Zugriff gestatten. Der erfolgt eben jetzt über diese neue Datei mit. Die ist aber flash spezifisch.

4. Das heißt, man sollte der plugin-container.exe besser keine Berechtigung in der Sandbox einräumen? Und wenn man es doch macht: Was kann konkret passieren?

Doch, wer Plugins nutzt sollte das. Die plugin-container.exe ist aber für alle Plugins - sprich dann dürften auch andere als Flash von den Berechtigungen profitieren. Wenn Flash jetzt was eigenes mitbringt ist das doch eindeutiger.

Laufend Browserabstürze in der Sandbox, wenn der FlashPlayer läuft, obwohl die Plugin-exe ohnedies die von Sandboxie geforderten Berechtigungen hat.

Seit FF13.01 verschwunden.

€: Danke für den XP-Hinweis. Wie vermutet, da dieses veraltete OS eh unsicherer ist, lässt es solche Implementierungen nicht zu.

Der Beitrag wurde von SLE bearbeitet: 18.06.2012, 08:16

[Peter 123]

Danke für deine Antworten, SLE. Damit sehe ich schon klarer.

Ich denke, dass ich damit ruhigen Gewissens (vorerst) bei meiner Lösung bleiben kann, die Flashplayer-eigene Sandbox zu deaktivieren. Ideal finde ich dieses Herumbasteln (wie schon erwähnt) ganz und gar nicht, aber:

Nur warum die Flash eigenen Schutzmechanismen aushebeln, wenn sie nicht mehr (im vgl. zu FF13) wirklich stören?

Bei mir passiert eben genau das (wie schon oben beschrieben): sie stören (bei Nutzung von Sandboxie). Und zwar trotz Verwendung der aktuellen Versionen von Firefox (13.0.1) und Sandboxie (3.72) und beim Einräumen der entsprechenden Berechtigungen.

Warum Fortschritte nicht nutzen? Warum Sicherheitsmechanismen aushebeln, nur weil man einen weiteren hat.

Dem stimme ich natürlich im Prinzip zu. Aber in diesem Fall ist die Situation (jedenfalls bei mir) so, wie bei den Virenschutzprogrammen: Von denen soll man bekanntlich auch nicht zwei (als Wächter) gleichzeitig laufen haben, weil sie sich in die Quere kommen. So ist das bei mir (derzeit) mit den beiden Sandboxen.

Die Deaktivierung wirkt auch, wenn Flash mal nicht in der Sandbox läuft. Deshalb potentiell unsicher.

Kommt bei mir nicht vor, dass Flash außerhalb der Sandbox läuft. (Ich wüsste jetzt zumindest keinen Anwendungsfall.)

[stROhKOPf]

Kommt bei mir nicht vor, dass Flash außerhalb der Sandbox läuft. (Ich wüsste jetzt zumindest keinen Anwendungsfall.)

Also ich benötige Flash z.B. auch außerhalb des Browsers für avast!. Und zwar genau dann, wenn ich mir den Verlauf des Echtzeitschutzes ansehen möchte. Hatte avast! neu aufgesetzt und konnte dort außer einen Hinweis "Flash wird benötigt" nichts sehen. Nach der Installation von Flash hat es dann funktioniert.

Um sicher zu gehen, könnte man doch Flash in der Sandbox erzwingen, oder nicht?