Sandboxie 3.36 released Einstellungen

[cruchot]

Von Sandboxie gibt es seit heute eine neue Version, 3.36.

Die Liste der Änderungen gibt es hier.

[Peter 123]

Danke. Ich habe die neue Version gerade ohne Probleme installiert.

Eine Merkwürdigkeit ist mir aber in den Sandbox-Einstellungen aufgefallen:

Unter "Ressourcenzugriff" ---> "Dateizugriff" ---> "Direkter Zugriff" finden sich dort auf einmal zwei Einträge betreffend "Tmpl.RoboForm":



Mit Roboform hatte ich aber nie etwas zu tun.

Im Sandboxie-Forum habe ich aber dafür gerade die Lösung gefunden*:

Gleichfalls in den Sandbox-Einstellungen ist unter "Anwendungen" ---> "Passwörter" aus irgendeinem Grund die Anwendung "Roboform" standardmäßig hinzugefügt (erkennbar am Pluszeichen links neben dem Wort "RoboForm"). Wenn man "Roboform" nicht am Rechner hat, kann man durch Klick auf "Entfernen" das Pluszeichen bei RoboForm beseitigen:



Damit verschwinden auch die erwähnten Einträge unter "Direkter (Datei-)Zugriff".

___________
*) http://www.sandboxie.com/phpbb/viewtopic.p...5edbb7d5e2bc4cc

[subset]

Hi,

zum Release der Version 3.36 habe ich eine kleine Anleitung verfasst, in der auch auf einige der neuen Funktionen hingewiesen wird, mit denen sich die Konfiguration einer Sandbox stark vereinfacht.

Die Anleitung "Sandboxie - Sandbox Einstellungen" kann man hier als PDF herunterladen:
http://drop.io/subsetlines

MfG

[cruchot]

zum Release der Version 3.36 habe ich eine kleine Anleitung verfasst

Eine gute Hilfe für Einsteiger.

[Peter 123]

Version 3.36 wurde am 22. April 2009 aktualisiert auf Version 3.36.04.
http://www.sandboxie.com/index.php?DownloadSandboxie

[Julian]

Irgendwie werd ich das Gefühl nicht los, dass wenn Malware wollte, sie Sandboxen leicht durchbrechen könnte. Ich bin kein Experte, aber wenn in der Sandbox ausgeführte Programme diese killen und das ganze System mit in den Abgrund reißen können, hab ich einfach das ungute Gefühl, dass da auch mehr möglich sein könnte...

Ich spiele auf diese Programme an:
http://rapidshare.de/files/47144959/Ht.7z.html
Pw: Welches hier so üblich ist

Nach dem ich htaab.exe in Sandboxie unter VMware gestartet hatte, beendeten sich die Sandboxie-Prozesse und das Programm konnte seinen Zweck erfüllen: Die ganze VM fror ein, das Programm konnte also wahrscheinlich alle anderen Prozesse modifizieren.
Als Vorsicht damit, ich übernehme keine Verantwortung für irgendwelche Schäden am System oder sonst wo.

Man sollte sich mit einer Sandbox also nicht zu sicher fühlen, ein Allheilmittel ist sie nicht. Keylogger funktionieren auch ganz hervorragend.

Eingeschränkte Rechte (UAC) bringen übrigens auch nichts, Online Armor und die neue Comodo-Version können die schädlichge Wirkung der Programme allerdings blocken.

Edit: Ach ja, die VM kackte nicht nur ab, sie ließ sich auch nicht mehr starten
Also richtig kaputt.

Der Beitrag wurde von Julian bearbeitet: 13.05.2009, 17:53

[Habakuck]

Virut zum Beispiel kommt definitiv raus aus der Sandkiste!

Und ich habe mehrere Beispiel Codes gesehen die das ebenfalls können.

Finger weg von Malware Test in Sandboxie! Die ist alles andere als sicher!

Ich bin gespannt ob Kasperksy das besser macht. Wage ich aber zu bezweifeln. Eine Sandkiste ist halt kein TestRechner.

[Peter 123]

Virut zum Beispiel kommt definitiv raus aus der Sandkiste!

Hast du dafür Quellen?

Ich möchte nicht um jeden Preis Sandboxie verteidigen. Aber weil ich sehr auf die Schutzwirkung der Sandbox vertraue, würde ich auch gern klipp und klar wissen, ob es nun tatsächlich Sicherheitslücken gibt.

In einem Thread im Sandboxie-Forum wird - jedenfalls für die dort überprüften Varianten von Virut - das Gegenteil behauptet, dass nämlich nichts aus der Sandbox entweicht:
http://www.sandboxie.com/phpbb/viewtopic.p...53c1e0990c3bbe1

Auch was bezüglich der Keylogger behauptet wird, sollte näher belegt werden:

Man sollte sich mit einer Sandbox also nicht zu sicher fühlen, ein Allheilmittel ist sie nicht. Keylogger funktionieren auch ganz hervorragend.

Was auf der Sandboxie-Webseite zum Thema geschrieben wird, spricht - jedenfalls weitgehend - gegen diese Behauptung (siehe http://www.sandboxie.com/index.php?DetectingKeyLoggers). Dort wird nur die Einschränkung gemacht, dass auch bei entsprechend strenger Konfiguration der Sandbox (= Erlaubnis des Internet-Zugangs nur für den Browser) einige Keylogger möglicherweise ihre Aktivität entfalten könnten:

Some key-loggers could possibly circumvent the Internet access restriction by hijacking the Web browser to be used as a vehicle through which to send out the recorded information.

Das ist aber doch weitaus weniger als ein "ganz hervorragend ... funktionieren" der Keylogger.

Im "großen" Sandboxie-Thread hier im Forum wurde auch über das Thema Keylogger diskutiert, und subset hat erläutert, wie man sich dagegen in der Sandbox schützen kann.

In Anbetracht all dessen fühle ich mich in der Sandbox weiterhin ziemlich sicher. (Malware-Tests mache ich klarerweise keine darin [und auch sonst nicht].) Für Warnungen und Gegenargumente bin ich zwar offen - aber dazu müssten klare Fakten auf den Tisch gelegt werden.

[Julian]

Windows Hook Key-Loggers

These key-loggers don't masquerade as hardware drivers, but they still have to ask the operating system to load them (or hook them) into every program executing on the desktop.

It is not uncommon for applications to install such hooks as part of normal operation, and blocking all of them would prevent some programs from running successfully inside the sandbox.

The approach Sandboxie takes is to honor the hook request partially, by applying the hook only to applications in the same sandbox as the requesting application.

The BlockWinHooks setting (see also Sandbox Settings > Restrictions > Low-Level Access) may be used to explicitly disable this protection.
Windows Message Key-Loggers

This class of key-loggers doesn't need any assistance from the operating system, and can only reliably record activity within one program. However, from the point of view of a supervisory program like Sandboxie, they don't do anything suspicious, and so cannot be stopped.

So müsste also standardmäßig ein Keylogger, der auf Global Hooks setzt (was die meisten tun), ohne weiteres Zutun daran gehindert werden, Tastatureingaben, die nicht an Programme in der Sandbox gerichtet sind, aufzuzeichnen.
War bei mir aber nicht so
Was mache ich falsch? Kann mir nicht vorstellen, dass standardmäßig so eine Sicherheitslücke besteht, zumindest nicht, wenn der Komfort nicht arg unter einer entsprechenden Lösung leiden sollte.

Und nur den Browser in der Sandbox laufen zu lassen bzw. keine anderen Prozesse neben diesem ist auch nicht die beste Lösung. Oder gibt es noch eine andere Methode (hab gerade nicht die Zeit, mir alles durchzulesen)?

Edit: Ein Satz war Unsinn...

Der Beitrag wurde von Julian bearbeitet: 13.05.2009, 21:42

[Heike]

Bifrost konnte mal Sandboxie umgehen, ob es noch so ist, weiß ich nicht, wahrscheinlich nicht.
ich würde Sandboxie nicht vertrauen.

[Gast_Nightwatch_*]

Die Diskussion um die "Virut-Umgehung" rührt wohl aus der Aussage eines Foren-Moderators von Malwarebytes:

So far the only thing that's ever gotten out on me was Virut. Backdoors-nope, Trojans-nope, DNS Changers-nope, Spambots-nope, Rootkits-nope, see what I mean? You'll just have to assure she uses it every time. No matter what she gets, excluding Virut, empty sandbox and it's all gone.

http://www.malwarebytes.org/forums/index.p...amp;#entry66244

Das wurde gleich im Sandboxie-Forum registriert:

Temerc was kind enough to send me the samples but I couldn't replicate his findings in any leaks within a default sandbox?

Extremely nasty bits of work but Sandboxie comes out on top, well at least that's what I found and definately no expert here.

[...]

And of course none of em could run in a restricted sandbox.

http://www.sandboxie.com/phpbb/viewtopic.p...53c1e0990c3bbe1


Gruß,
Nightwatch

[Peter 123]

So müsste also standardmäßig ein Keylogger, der auf Global Hooks setzt (was die meisten tun), ohne weiteres Zutun daran gehindert werden, Tastatureingaben, die nicht an Programme in der Sandbox gerichtet sind, aufzuzeichnen.
War bei mir aber nicht so
Was mache ich falsch?

Ich würde spontan sagen: Zumindest durch eine entsprechende Konfiguration der "Beschränkungen" - Unterpunkt "Start/Ausführen Zugang" ("Die folgenden Programme sind die einzigen, die in der Sandbox ausgeführt werden dürfen.") - müsste man das in den Griff bekommen. Nämlich, indem man dort festlegt, dass nur ganz bestimmte Programme in der Sandbox laufen dürfen (z.B. nur der Browser, den man benützt, und die diversen Sandboxie-exes).

Mehr kann ich dir mangels ausreichenden Fachwissens leider nicht sagen. Vielleicht wissen subset oder andere Sandboxie-Experten Näheres dazu. Oder du schilderst dein Bedenken einmal direkt im Sandboxie-Forum?

Und nur den Browser in der Sandbox laufen zu lassen bzw. keine anderen Prozesse neben diesem ist auch nicht die beste Lösung. Oder gibt es noch eine andere Methode (hab gerade nicht die Zeit, mir alles durchzulesen)?

Wenn ich die (oben verlinkte) Anleitung auf der Sandboxie-Homepage richtig verstanden habe, kann man sich vor den schädlichen Auswirkungen von Keyloggern vor allem durch zweierlei schützen:

- Beenden der in der Sandbox laufenden Programme und Leeren der Sandbox
- Internet-Zugang nur dem Webbrowser erlauben. (Ich nehme an, alternativ kann es auch z.B. ein Messenger-Programm sein, das ich verwenden möchte.)

Es kommt wahrscheinlich darauf an, was man in der Sandbox primär machen will: Wenn man (wie ich) darin eigentlich ausschließlich im Internet surft oder einen Messenger benützt, kann man mit dieser Beschränkung gut leben. Wenn man in der Sandbox z.B. auch Software ausprobieren will und dazu eine Verbindung ins Internet benötigt, wird es vielleicht komplizierter.

Der Beitrag wurde von Peter 123 bearbeitet: 13.05.2009, 22:16

[subset]

Was für ein reißerischer Quatsch hier von unserem "The OA Free HIPS is really crap... Sorry, I was wrong there." Experten hier wieder aufgetischt wird.

Diesmal "Sandboxie is really crap" Hä?

Egemen, der Mastermind von CIS schreibt über diese Dateien...
"Its ok dont worry. There are no serious thtreats in these tests but they are going to cause inconveninece for the users."
https://forums.comodo.com/leak_testingattac...78648#msg278648

No serious threats... aber der verunglückte VM Test ist der Beweis, dass Sandboxie Malware nicht stoppen kann.
Das Comodo die POCs ursprünglich auch nicht stoppen konnte, stört natürlich nicht weiter, da kam ja schnell ein Update hinterher.
Viele andere Programme versagten bei den Dateien auch komplett oder teilweise.
Aber natürlich ist mit den Tests ausschließlich bewiesen, dass Sandboxie nicht schützen kann.

Was für ein Schmarrn.

MfG

[Peter 123]

Ich versuche das jetzt einmal so zusammenzufassen, dass auch Nicht-Eingeweihte aus dem Disput etwas Wissenwertes über Sandboxie herauslesen können.

subset bezieht sich offenkundig auf den Test, den Julian weiter oben beschrieben hat:

[...] aber wenn in der Sandbox ausgeführte Programme diese killen und das ganze System mit in den Abgrund reißen können, hab ich einfach das ungute Gefühl, dass da auch mehr möglich sein könnte...

Ich spiele auf diese Programme an:
http://rapidshare.de/files/47144959/Ht.7z.html
Pw: Welches hier so üblich ist

Nach dem ich htaab.exe in Sandboxie unter VMware gestartet hatte, beendeten sich die Sandboxie-Prozesse und das Programm konnte seinen Zweck erfüllen: Die ganze VM fror ein, das Programm konnte also wahrscheinlich alle anderen Prozesse modifizieren.

Ich selbst kann den Test mangels ausreichender Computerkenntnisse und fehlender technischer Möglichkeiten nicht reproduzieren. Aber Julians Schilderung der Ereignisse verstehe ich - vereinfacht gesagt - so: Julian ließ in der Sandbox zu Versuchszwecken irgendwelche "bösen" Programme laufen. Eines davon konnte - seiner Beobachtung nach - Sandboxie zum Absturz bringen ("beendeten sich die Sandboxie-Prozesse") und ließ dann außerhalb der Sandbox das Virtualisierungsprogramm VMware einfrieren.

Ich habe nun nicht den Eindruck, dass subset mit seinem Posting diese "Vorwürfe" gegenüber Sandboxie widerlegt hat.

Da heißt es einerseits:

Egemen, der Mastermind von CIS schreibt über diese Dateien...
"Its ok dont worry. There are no serious thtreats in these tests but they are going to cause inconveninece for the users."
https://forums.comodo.com/leak_testingattac...78648#msg278648

No serious threats... aber der verunglückte VM Test ist der Beweis, dass Sandboxie Malware nicht stoppen kann.

Ich nehme an, mit "diese Dateien" sind jene (von mir als "böse" bezeichneten) Programme gemeint, die Julian in der Sandbox laufen ließ.

Nun, wenn ich den von subset zitierten englischen Satz richtig verstehe, sind das keine Programme, die "echten" Schaden am Computer anrichten, sondern nur zu Testzwecken schadensähnliche Situationen simulieren ("no serious threats in these tests but they are going to cause inconvenience for the users").

Gut und schön, aber widerlegt das Julians Beobachtungen? Ob die Programme eine ernsthafte Bedrohung sind oder "nur" Unannehmlichkeiten für den Benutzer verursachen, das spielt doch für die Beurteilung der Frage keine Rolle, ob Sandboxie bei diesen Programmen seine Aufgabe verlässlich erfüllt oder nicht. Laut Julian geschieht das (jedenfalls bei einem dieser Programme) nicht, weil die Sandbox dadurch außer Gefecht gesetzt worden sein soll und dann VMware eingefroren ist.

Das kann man eigentlich nur dadurch widerlegen, dass man den Test selbst durchführt und zum gegenteiligen Ergebnis kommt - nämlich, dass das betreffende Programm die Sandbox nicht ausschaltet (und es auch sonst nicht aus der Sandbox entweicht). Aber zu sagen, das Programm sei ohnedies keine "serious threat", das ist kein Argument. Aus der Sandbox sollte (ohne Zutun des Benützers) gar nichts herauskönnen - egal, ob es eine "serious threat" (Malware) oder etwas Harmloses ist.

Und das zweite "Argument" von dir, subset, ist leider auch nicht stichhaltig:

Das Comodo die POCs ursprünglich auch nicht stoppen konnte, stört natürlich nicht weiter, da kam ja schnell ein Update hinterher.
Viele andere Programme versagten bei den Dateien auch komplett oder teilweise.
Aber natürlich ist mit den Tests ausschließlich bewiesen, dass Sandboxie nicht schützen kann.

Ob andere Programme auch versagen, interessiert mich als Sandboxie-Benützer bzw. als Leser eines Sandboxie-Threads nicht (oder bestenfalls am Rande). Im konkreten Fall wurde Sandboxie getestet, und wenn Sandboxie den Test nicht bestanden haben sollte, dann ist das für sich genommen etwas, worauf mit Recht hingewiesen wird und womit man sich beschäftigten muss.

[subset]

Das kann man eigentlich nur dadurch widerlegen, dass man den Test selbst durchführt und zum gegenteiligen Ergebnis kommt -

Na dann mach mal, ist sicher sinnvoller als jeden geschriebenen Unsinn zu glauben und dann endlos darüber zu spintisieren.

Oder wenn selbst testen nicht funktioniert - vielleicht diesem Tester glauben.

There were five files in the rar and I created a new sandbox and left the default settings. I right clicked run sandboxed on each of the five exe files and all that is happening is that at least one of them is hell-bent on using up all of your memory and pagefile until other things like the mouse are slow to respond. Nothing got on the real system, no files or folders. I didn't even require a reboot - just "Terminate All Programs" and here I am good as new......... so wtf?

http://www.sandboxie.com/phpbb/viewtopic.php?p=35850#35850

Im konkreten Fall wurde Sandboxie getestet, und wenn Sandboxie den Test nicht bestanden haben sollte, dann ist das für sich genommen etwas, worauf mit Recht hingewiesen wird und womit man sich beschäftigten muss.

Scheinbar hat Sandboxie den Test doch bestanden und nur der Speicher (der VM) kann voll werden, was dann einen Absturz des Systems verursachen könnte.

Naja, ganz sicher kann man da nie sein, wenn man das nicht selbst testet.

MfG

[Peter 123]

Na also. subset, du wirst doch selbst einsehen, dass dieses Posting von dir ein ganz anderes argumentatives Gewicht hat als dein erstes ...

Ich habe mir den von dir verlinkten Sandboxie-Thread durchgelesen, und ziehe daraus die folgenden, sehr laienhaft formulierten Schlüsse:

Die Test-Programme bewirken laut Sandboxie-Thread nur eine (temporäre) Überlastung des Computers (durch hohe Speicherauslastung); diese äußert sich (allenfalls) darin, dass Anwendungen nicht mehr reagieren, die Maus sich nicht mehr bewegen lässt oder man mit ihr nichts mehr anklicken kann usw. Das Ausmaß dieser Behinderungen ist offenbar von Computer zu Computer verschieden und wird dementsprechend als unterschiedlich gravierend wahrgenommen.

Der Starter des Threads im Sandboxie-Forum* ("ssj100") beschrieb seine Erfahrungen so:
*) http://www.sandboxie.com/phpbb/viewtopic.php?t=5440

Despite running the malware programs in Sandbox DefaultBox, my mouse became frozen, my explorer.exe was shut down, my start menu was closed etc.

Außerdem (gleichfalls "ssj100"):

One of the files shut down my Sandboxe Control console, so I couldn't click Terminate All Programs. Also my mouse was completely frozen, so I couldn't move or click anything!

---> Ähnliche Erfahrungen hat offenbar auch Julian gemacht.

Dass die Betroffenen bei solchen Vorkommnissen annehmen, die Sandbox hätte versagt und das Testprogramm wäre aus der Sandbox ausgebrochen (bzw. hätte die Sandbox-Prozesse überhaupt beendet), halte ich für naheliegend. Ich glaube also nicht, dass man Julian das vorwerfen kann. Auch nicht seine Vermutung:

[...] das Programm konnte also wahrscheinlich alle anderen Prozesse modifizieren.

Wenn man sich dann aber den von subset erwähnten Sandboxie-Thread ansieht, scheint das glücklicherweise alles harmloser zu sein.

Ergänzend zu dem englischen Zitat, das bereits subset wiedergegeben hat, halte ich auch das noch für bemerkenswert:

A system locking up due to memory use is not a leak out of the sandbox.

Also wenn das System aufgrund zu hoher Speicherbelastung nicht mehr reagiert, ist das keine Lücke, durch die etwas aus der Sandbox nach außen gelangt wäre.

Bzw. die Definition dessen, was eine solche Lücke (Leck) in der Sandbox wäre:

Talking about a leak in Sandboxie would mean that a program is able to write to real system, out of the sandbox folder, because that´s what Sandboxie was designed for. As this is not the case we can not talk about a leak in Sandboxie.

(Fettdruck von mir)

Diese ("bösen") Programme haben also demnach am realen System (= außerhalb der Sandbox) nichts verändert (sondern nur den Computer durch eine erhöhte Speicherauslastung überlastet und damit seine reibungslose Funktionstüchtigkeit - vorübergehend und je nach Tester mehr oder weniger stark - eingeschränkt).

Das war offenbar auch mit der Feststellung gemeint, die subset in seinem ersten Beitrag zitierte: dass es sich nicht um "serious threats" handle, sondern um eine schlichte "inconvenience for the users." Oder in den Worten eines Posters im Thread des Sandboxie-Forums:

No security risk [...], just a bit of an annoyance maybe.

Genau diese Feststellung hat dann auch der Sandboxie-Erfinder tzuk ausdrücklich bestätigt.
_______

Ergänzend sei noch erwähnt, dass all diese Beobachtungen auf der Benützung von Sandboxen beruhten, die mit den Standardeinstellungen arbeiteten, also ohne Spezialkonfiguration. Anscheinend könnte man auch noch den geschilderten Effekt der Computerüberlastung vermeiden, indem man die Sandbox speziell konfiguriert und dem betreffenden Programm den Start in der Sandbox gar nicht erst gestattet:

Under Sandbox Settings - Restrictions - Start/Run Access where only the apps you specify are able to run in that sandbox.

Nothing can breach that setting as far as I am aware of.

---> Das wäre die von mir bereits in einem früheren Posting erwähnte Konfigurationseinstellung unter "Beschränkungen" ---> "Start/Ausführen Zugang". Wenn man hier nur "ausgewählte" Programme einträgt (etwa nur den Webbrowser + die für den Betrieb der Sandbox notwendigen sandboxie-exe-Dateien), könnte wohl auch nicht das Programm starten, das die die hohe Speicherbelastung bewirkt. Ich habe das selbst nicht ausprobiert, aber es erscheint mir schlüssig.

Der Beitrag wurde von Peter 123 bearbeitet: 14.05.2009, 11:15

[Julian]

Was für ein reißerischer Quatsch hier von unserem "The OA Free HIPS is really crap... Sorry, I was wrong there." Experten hier wieder aufgetischt wird.

Ich seh schon, du willst mal wieder sachlich diskutieren. Kann ich auch: Warum gibst du dich noch in diesem "rotten forum" ab?
Ich hab meinen Fehler schnell korrigiert und auch einen nicht ganz unplausiblen Grund genannt, weshalb ich zu dieser Aussage kam (In der späten 3.5er Beta lies die Free die Leaktests CPILSUITE2 & 3 zu, also dll-Injections.). Anscheinend ist für dich das Eingestehen von Fehlern aber nur eine Schwäche, weshalb du es hier wohl auch noch nicht ein einziges Mal getan hast, obwohl wahrlich Anlass besteht.

Diesmal "Sandboxie is really crap" Hä?

Egemen, der Mastermind von CIS schreibt über diese Dateien...
"Its ok dont worry. There are no serious thtreats in these tests but they are going to cause inconveninece for the users."
https://forums.comodo.com/leak_testingattac...78648#msg278648

No serious threats... aber der verunglückte VM Test ist der Beweis, dass Sandboxie Malware nicht stoppen kann.
Das Comodo die POCs ursprünglich auch nicht stoppen konnte, stört natürlich nicht weiter, da kam ja schnell ein Update hinterher.

Netter Versuch. Es ging aber nicht um HIPSe, sondern darum, dass Sandboxie ja vom Prinzip her solche Schwachstellen nicht haben dürfte. Das HIPSe auf neu entdeckte Methoden erst reagieren müssen, ist ja auch klar. Und ansonsten findest du die Aussagen von Comodo-Entwicklern / CEOs ja eh immer kacke, in dem Fall sind sie dir aber auf einmal gut genug?
Hm, blockt Sandboxie eigentlich alles Unbekannte, wenn es gekillt wird? Nein? Comodo schon, wahrscheinlich auch in diesem Fall. Vielleicht hält es egemen auch deshalb nicht für eine wirkliche Sicherheitslücke?

Aber natürlich ist mit den Tests ausschließlich bewiesen, dass Sandboxie nicht schützen kann.

Wo steht das? Da zitierst du wohl jemand anderen stellvertretend für mich? Ich habe lediglich geschrieben, dass Sandboxie bei diesem Test versagt hat, und dass dies eventuell ein Indiz für einen Schwachpunkt dieser Software darstellt, dem sich ja Malware theoretisch bedienen könnte. Dass 101% der Malware aus der Sandbox ausbrechen kann, habe ich wieder geschrieben noch impliziert.

Was für ein Schmarrn.

Das trifft auf deinen Post wirklich grandios zu. Deine Ignorierliste scheint aber auch wie Sandboxie Lücken aufzuweisen
bond7 mit intellektueller Fassade...

Der Beitrag wurde von Julian bearbeitet: 14.05.2009, 12:50

[Julian]

Na dann mach mal, ist sicher sinnvoller als jeden geschriebenen Unsinn zu glauben und dann endlos darüber zu spintisieren.

Oder wenn selbst testen nicht funktioniert - vielleicht diesem Tester glauben.

http://www.sandboxie.com/phpbb/viewtopic.php?p=35850#35850


Scheinbar hat Sandboxie den Test doch bestanden und nur der Speicher (der VM) kann voll werden, was dann einen Absturz des Systems verursachen könnte.

Naja, ganz sicher kann man da nie sein, wenn man das nicht selbst testet.

MfG

Und jetzt soll man diesem User einfach glauben und die Sache ad acta legen, weil es nur ein zu voller Speicher ist.
Dass trotzdem Prozesse außerhalb der Sandbox beendet werden, interessiert offenbar keinen und dass man nicht auf die Idee kommt, dass Vollaufen des Speichers durch ein gesandboxtes Programm irgendwie verhindern zu können, steht wohl auch nicht zur Disposition.
Das ist alles machbar, OA und Comodo können ja schließlich auch die entsprechenden Vorgänge blocken. Man müsste für diesen Einzelfall also nur Sandboxie dahingehend erweitern, gesandboxten Prozessen diese Vorgänge nicht zu gestatten. Also kein Ding der Unmöglichkeit, eine offensichtliche Schwachstelle.

subsets "Expertenwissen" war auch schon mal besser begründet

[subset]

Dass die Betroffenen bei solchen Vorkommnissen annehmen, die Sandbox hätte versagt und das Testprogramm wäre aus der Sandbox ausgebrochen (bzw. hätte die Sandbox-Prozesse überhaupt beendet), halte ich für naheliegend.

Solange aber keine Beweise für das Versagen der Sandbox und den Ausbruch aus der Sandbox geliefert werden, bleiben es nur Annahmen der Betroffenen (Trolle).

Also wenn das System aufgrund zu hoher Speicherbelastung nicht mehr reagiert, ist das keine Lücke, durch die etwas aus der Sandbox nach außen gelangt wäre.

Theoretisch könnte dabei aber auch aus der Sandbox etwas nach außen gelangt sein, was aber wiederum zu beweisen wäre.
Die bloße Annahme - System (VM) friert ein, also hat Sandboxie eine Lücke, durch die etwas in das echte System übergesprungen ist - ist ohne irgendeinen Beweis nur reine Spekulation.

---> Das wäre die von mir bereits in einem früheren Posting erwähnte Konfigurationseinstellung unter "Beschränkungen" ---> "Start/Ausführen Zugang". Wenn man hier nur "ausgewählte" Programme einträgt (etwa nur den Webbrowser + die für den Betrieb der Sandbox notwendigen sandboxie-exe-Dateien), könnte wohl auch nicht das Programm starten, das die die hohe Speicherbelastung bewirkt. Ich habe das selbst nicht ausprobiert, aber es erscheint mir schlüssig.

Hätte der "Angriff" in einer solchen Sandbox stattgefunden, dann hättest du davon nichts mitbekommen.
Sandoxie hätte die Ausführung der Dateien einfach nicht erlaubt, wenn sie z.B. als Drive-by Download in dieser Sandbox gelandet wären.

MfG

[Julian]

Solange aber keine Beweise für das Versagen der Sandbox und den Ausbruch aus der Sandbox geliefert werden, bleiben es nur Annahmen der Betroffenen (Trolle).

Prozesse außerhalb der Sandbox sind hin. Kein Beweis? Wenn nein, warum nicht? Begründe das mal!

Ich esse jetzt erst mal Trollis, lasse dir aber gerne ein paar über