Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[Hexo]

Ich hab mal bezüglich Sandboxie eine Frage an die Experten:

Nach einer Anleitung hier im Forum hab ich meine Sandboxie Version (von subset) konfiguriert und alles läuft super.
Ich hab nur ein Problem:
Ich möchte, dass der Browser immer in der Sandbox läuft.
Das hab ich auch schon hin bekommen. Allerdings hab ich dann das Problem, dass die Updates von Addons und vom Browser selbst, nach dem schließen den Browsers weg sind. Das heißt, ich muss den Browser "normal" öffnen, Updaten und anschließend den Browser in der Sandbox weiter nutzen. Gibt es eine elegantere Lösung?
Nutze den Chrome als Browser.


Gruß und frohe Ostern.

[Damnatus]

Die Problematik ist folgende:
Sicherheit versus Komfort.
Solange du die Einstellungen von subset nutzt, kannst du keinerlei Updates aufs "reale System" übernehmen.

Ich habe für mich ein Mittelweg gewählt und einen OpenFilePath für Extensions-Ordner von Firefox angelegt.
Rechtsklick auf die Sandbox in der Firefox ausgeführt wird->Sandboxeinstellungen->Ressourcenzugriff->Dateizugriff->Direkter Zugriff.

Der Extensions (AddOn)-Ordner befindet sich standardmäßig in
C:/Benutzer/[Benutzername]/AppData/Roaming/Mozilla/Firefox/Profiles/[Zahl-buchtstabenkombination].default
(AppData ist ein versteckter Ordner und muss erst über "Ordner-und Suchoptionen" ->"Ansicht"->"Versteckte Dateien anzeigen" sichtbar gemacht werden. Hier Vorsicht walten lassen und nicht einfach etwas löschen )

So lassen sich AddOns aktualisieren, der Browser muss aber einmal ohne Sandbox laufen für das Update.
Dafür empfehle ich die in der Sandboxeinstellung der für den Browser genutzten Sandbox unter 'Anwendung' ->Web-Browser->Firefox
folgenden Punkt zu aktivieren:
-Den Start von Firefox in der Sandbox erzwingen.
Sso wird das Programm, egal wo und wie gestartet immer in der Sandbox laufen und es müssen keine Extra-Verknüpfungen angelegt werden.

Möchte man Firefox nun aktualisieren, kann man den Eintrag entfernen, Übernehmen, das Einstellungsfenster offen lassen, Firefox starten, Update durchführen, Firefox schließen, Eintrag wieder aktivieren, Übernehmen, Eisstellungsfenster wieder schließen und: Violá.
Wers ganz einfach haben will ermöglicht den Zugriff auf den gesamten Profilordner, das im gleichen Einstellungsfenster zu finden ist wie "Den Start von Firefox in der Sandbox erzwingen." Das ist am Komfortabelsten, aber auch weniger sicher.

Ich habe das so ausführlich erklärt, nicht weil ich dich für Dummy halte, Hexo, aber falls wer hier mit Google drüber stolpert ist eine ausführliche und komplette Anleitung immer sehr schön.
Nichts ist schlimmer einen Thread mit genau der frage zu finden, wo am Ende dann womöglich der Threadersteller sagt "Frage hat sich erledigt, konnte Problem selbst beseitigen" und man selbst hockt vorm Bildschirm und könnt gerade in die Tastatur beißen =)

Der Beitrag wurde von Damnatus bearbeitet: 25.04.2011, 04:29

[Peter 123]

Ich habe das so ausführlich erklärt, nicht weil ich dich für Dummy halte, Hexo, aber falls wer hier mit Google drüber stolpert ist eine ausführliche und komplette Anleitung immer sehr schön.

Das sehe ich genauso.

Deine Anleitung zeigt auch, dass der (vermeintlich) "unelegantere" Weg jener ist, der viel einfacher zu beschreiten und noch dazu sicherer ist:

den Browser "normal" öffnen, Updaten und anschließend den Browser in der Sandbox weiter nutzen.

So einfach kann es sein. Aber wenn es jemand gerne komplizierter (und weniger sicher) haben möchte, ist das natürlich auch zu akzeptieren.

[Thorsten]

Hallo,

habe mir sandboxie von www.sandboxie.com geladen und finde es richtig gut.
Es läuft ja nur 30 Tage, danach muss ich mir eine Lizenz kaufen - oder sehe ich das falsch.
Weil in der Überschrift von "Sandboxie Free" die rede ist.

Danke und Gruß
Thorsten

Der Beitrag wurde von Thorsten bearbeitet: 26.04.2011, 07:07

[Lurchi]

@ Thorsten:

Nein, Thorsten, das siehst Du falsch.

Nach den 30 Tagen darfst Du Sandboxie weiter nutzen. Allerdings kommt ab und an ein kurzes Verzögerungsfenster (wenige Sekunden), welches auf die Kaufversion hinweist.

Zudem hat die Kaufversion die eine oder andere Option mehr.

[flachbrot]

Die Free-Variante ist im Nutzungsumfang beschränkt.
Reicht aber unter Umständen für die meisten aus.
Du wirst freundlich daran erinnert eine Lizenz zu kaufen,
kannst es aber weiterhin als FREE nutzen.

[Thorsten]

@flachbrot

Ok, danke für die Info.
Also lohnt sich der Kauf einer Lizenz nicht wirklich?
Wie ist der Nutzungsumfang beschränkt?

Gruss Thorsten

Der Beitrag wurde von Thorsten bearbeitet: 26.04.2011, 12:52

[Robo88]

Es wurde doch immer berichtet das der FF4 in der Sandbox etwas verzögert reagiert.
Ursache scheint die Erweiterung Personas zu sein.
Ist diese deinstalliert,funktioniert alles ohne Verzögerung.

[Schulte]

Also lohnt sich der Kauf einer Lizenz nicht wirklich?

Kommt darauf an...

Wie ist der Nutzungsumfang beschränkt?

In der Free-Version hast Du meines Wissens nur eine einzige Sandbox für alles.
In der Kaufversion kannst Du im Prinzip für jedes Programm eine separate, maßgeschneiderte Sandbox anlegen.

[Peter 123]

In der Free-Version hast Du meines Wissens nur eine einzige Sandbox für alles.
In der Kaufversion kannst Du im Prinzip für jedes Programm eine separate, maßgeschneiderte Sandbox anlegen.

So stimmt das nicht. Man kann praktischerweise auch mit der Gratis-Version beliebig viele Sandboxen anlegen und sie individuell konfigurieren.

Aber nur in der Kaufversion ist es möglich, mehrere Sandboxen gleichzeitig geöffnet zu haben.

Und ebenfalls nur in der Kaufversion kann man den Start von Programmen in der Sandbox erzwingen, sie also automatisch in der Sandbox starten lassen (anstelle von Rechtsklick auf das betreffende Programm und Auswahl der Option: "In der Sandbox starten".)
Hier kommt einem aber ebenfalls die Gratis-Version entgegen: den Standardbrowser kann man auch mit ihr automatisch in der Sandbox starten lassen.

(siehe: "Which features are available in the paid version?" unter http://www.sandboxie.com/index.php?FAQ_Licensing )

---> Für den "Normalverbraucher" ist damit meines Erachtens die Gratis-Version ausreichend.

[SLE]

... man den Start von Programmen in der Sandbox erzwingen, sie also automatisch in der Sandbox starten lassen ...

Für mich das Killerfeature der Bezahlversion und in meinen Augen essentiell, wenn man Sandboxie als Teil des Sicherheitskonzeptes betrachtet.

[Peter 123]

Für mich das Killerfeature der Bezahlversion und in meinen Augen essentiell, wenn man Sandboxie als Teil des Sicherheitskonzeptes betrachtet.

Den großen Vorteil dieser Funktion ("Programmstart in der Sandbox erzwingen") habe ich noch nie so recht verstanden:

- Soweit es um sicheres Surfen geht, profitiert man ohnedies auch mit der Gratis-Version davon, dass man den Standardbrowser automatisch in der Sandbox starten lassen kann. ---> Um ins Internet zu gehen, klicke ich einfach in der Taskleiste links unten auf das entsprechende (Sandboxie-)Symbol (so wie früher auf das Browser-Symbol):



... und schon bin ich Sandbox-geschützt im WWW.

- Für alle anderen Programme, die ich allenfalls in der Sandbox laufen lassen will (z.B. Skype, Messengerdienste usw.) darf ich halt nicht vergessen, das über Rechtsklick auf das betreffende Programmsymbol und Auswahl von "In der Sandbox starten" zu machen. Und wenn man immer an dieses Erfordernis denkt, halte ich das Erzwingen nicht für essentiell. (Sofern man überhaupt meint, außer dem Browser auch noch andere Programme in der Sandbox laufen lassen zu müssen. Z.B. zum Testen von Programmen verwende ich persönlich Sandboxie ohnedies nicht.)

PS:
O.k., jetzt ahne ich, wo dieser erzwungene Start in der Sandbox seinen Sicherheitseffekt entfalten kann: Gedacht ist offenbar an Fälle wie das Anschließen eines (möglicherweise verseuchten) USB-Sticks, der dann automatisch in der Sandbox läuft und damit dem realen System keinen Schaden zufügen kann. ---> Für Derartiges ist die Funktion sicher nützlich! Weil bei meinem Rechner aber ohnedies nichts Fremdes/Unbekanntes angesteckt wird, habe ich insofern keinen Bedarf dafür.

Der Beitrag wurde von Peter 123 bearbeitet: 27.04.2011, 01:04

[Habakuck]

PS:
O.k., jetzt ahne ich, wo dieser erzwungene Start in der Sandbox seinen Sicherheitseffekt entfalten kann: Gedacht ist offenbar an Fälle wie das Anschließen eines (möglicherweise verseuchten) USB-Sticks, der dann automatisch in der Sandbox läuft und damit dem realen System keinen Schaden zufügen kann. ---> Für Derartiges ist die Funktion sicher nützlich! Weil bei meinem Rechner aber ohnedies nichts Fremdes/Unbekanntes angesteckt wird, habe ich insofern keinen Bedarf dafür.

Erstens das aber es gibt noch ein, zwei weitere Gründe.

Sollte es ein Schädling geschafft haben auf deinem System aktiv zu werden so will der ja meistens auch Informationen nach draußen senden. Häufig bekommt er vom Server dann den Auftrag weitere Malware bei dir auf dem System zu droppen.
Da mittlerweile fast jeder wenigstens die Windows Firewall nutzt ist das so einfach nicht möglich. Es wird eine reverse connection benötigt. Damit lässt sich die Windows Firewall bei default Einstellungen umgehen.
Will der Angreifer aber jetzt noch den Fall abdecken, dass du eine Firewall nutzt die auch ausgehende Verbindungen reglementiert (kann die Windows Firewall übrigens auch) so nutzt er meistens ein Programm welches bereits durch die Firewall kommunizieren darf.
Da er nicht wissen kann welchen Programmen du erlaubt hast durch die firewall zu kommunizieren probiert er einfach die üblichen Verdächtigen aus: iexplorer.exe, svchost.exe, wmpnetwk.exe, firefox.exe usw. und so fort.

Wenn du jetzt den entsprechenden Programmen vorschreibst in der Sandbox zu starten so kannst du zumindest verhindern dass Malware außerhalb der sandbox gedroppt wird. (Das bereits gesammelte Informationen rausgehen natürlich nicht.)

Ich würde das über prozess-namen und nicht über pfade machen. Das hat den Vorteil, dass auch malware die zum Beispiel als svchost.exe oder iexplorer.exe startet dies auch in der Sandbox tuen sollte. (Ob das wirklich immer funktioniert weiss ich nicht da ich nicht weiss wie Sandboxie den Task-Start abfängt.)
Denn Malware startet häufig als "bekannter" Name aber im anderen Dateipfad. Das fällt im Taskmanager dann erstmal nicht so schnell auf.

[Firefox 1947]

Da ich auch die Freeware von Sandboxie nutze und wegen der genannten Maleware/Viren Problematik, läuft bei mir das System zusätzlich unter Returnil.

Gruß Firefox.

[Peter 123]

Habakuck, danke für deine Erläuterungen.

Wobei:

Sollte es ein Schädling geschafft haben auf deinem System aktiv zu werden [...]

Genau das hoffe ich schon durch die Verwendung der Gratis-Version zu verhindern. Durch die vielfältigen Konfigurationsmöglichkeiten stehen die Chancen dafür recht gut.

[Habakuck]

Habakuck, danke für deine Erläuterungen.

Gerne. =)

Wobei:
Genau das hoffe ich schon durch die Verwendung der Gratis-Version zu verhindern. Durch die vielfältigen Konfigurationsmöglichkeiten stehen die Chancen dafür recht gut.

Ja, das stimmt schon. Ich habe mir SB gekauft weil ich den Entwickler unterstützen möchte und die zusätzlichen Features durchaus gut finde. Das kann jeder selbst entscheiden.

[Peter 123]

Ich habe mir SB gekauft weil ich den Entwickler unterstützen möchte und [...]

Genau aus diesem Grund habe ich mir auch schon öfter überlegt, mir die "Vollversion" zu kaufen.

Was mir nicht zusagt, ist allerdings die Zahlungsmethode. Das läuft über einen Zahlungsdienst (Cleverbridge), dem man Name, e-mail-Adresse und (Post-)Adresse mitteilen muss. (Auch wenn man die angebotene CD gar nicht geliefert bekommen will.) Und so etwas möchte ich vermeiden, wenn es nicht unbedingt sein muss - gerade jetzt, wo man wieder von dem Datenklau bei Sony erfahren hat. Paypal-Zahlungen sind zwar bei Sandboxie auch möglich, aber wieder nur via Cleverbridge. Und durch diese Zwischenschaltung eines weiteren Zahlungsabwicklers hat ein weiteres Unternehmen meine Daten.

Ich hätte gerne gespendet (sofern das direkt über einen Dienst wie Paypal möglich gemacht wäre). Aber Spenden will der Sandboxie-Entwickler prinzipiell nicht annehmen (s. etwa http://www.sandboxie.com/phpbb/viewtopic.php?t=2596 und http://sandboxie.com/phpbb/viewtopic.php?t=5721 ).

Noch eine Frage (falls ich mich doch einmal zum Kauf entschließen sollte):
Bleiben nach der Produktaktivierung (s. http://www.sandboxie.com/index.php?ProductActivation ) alle bisherigen Konfigurationseinstellungen der Sandboxen erhalten? Kann ich mit ihnen also anschließend sofort weiterabeiten wie bisher?

[Solution-Design]

dem man Name, e-mail-Adresse und (Post-)Adresse mitteilen muss.

Oh Gott, Hilfe... Das sind ja grausame Vorgehensweisen...

[Alexausmdorf]

Schon mal überlegt, eine falsche Adresse anzugeben? Es wird wohl niemand einen Meldezettel von dir anfordern, ob das denn auch stimmt. Im Grunde ist denen doch komplett egal, was du angibst, wichtig ist, dass du eine richtige Mailadresse angibst, das wird unten weiter bei der Bestellung nochmal extra betont, dass du niemandem "die Identität klaust" und bei Problemen ziehst du als Max Mustermann halt den Kürzeren ( zb CD kommt nicht bei dir zu Hause an, weil der Postler den Max Mustermann nicht findet ).


Falsche Angaben sind nur dann problematisch, wenn du dir dadurch einen Vorteil erschleichst, zb. über nen Proxy mit ner amerikanischen IP den Dollarpreis zahlen willst, und dadurch die MWSt hinterziehst, oder wenn du den Verkäufer dadurch schadest.

Beides machst du jedoch in dem Fall nicht.

[Solution-Design]

Genau das hoffe ich schon durch die Verwendung der Gratis-Version zu verhindern. Durch die vielfältigen Konfigurationsmöglichkeiten stehen die Chancen dafür recht gut.

Die Nutzung Sandboxies ist natürlich auch in der Free-Version sicherer, als auf Sandboxie gänzlich zu verzichten. In der Fullversion insbesondere halte ich die Erzwingung diverser Programme in der Sandbox für eine Topp-Geschichte. Mediaplayer, Acrobat Reader und dutzende andere Programme, bis hin zum ein oder anderen Mail-Clienten können so bequem in der Sandbox laufen, ohne dass man sich Gedanken machen muss, die richtige Verknüpfung aufgerufen zu haben. Oder noch besser, der MailClient arbeitet zum Beispiel nicht korrekt in der Sandbox, man ruft ein PDF einer eMail auf und schwupps läuft der PDF-Reader inkl. Dokument in der Sandbox.

Das Beispiel, dass der PC an sich schon mit Malware befallen ist, die Sandbox dann noch Vorteile ausspielen kann, das halte ich nicht für so gelungen. Man sollte zusehen, seinen PC eben von Malware befreit zu halten. Und Sandboxie kann einen dabei unterstützen. In der Kaufversion noch besser, da Dinge vorkonfiguriert werden können.

Was die Unterstützung des Autors angeht, das ist einer der Nebenschauplätze, welche mich dazu bewegten, dieses Produkt zu erwerben. Zumal für diesen wirklich sehr geringen Preis einer Lifetime Lizenz. Wobei ich mir nicht einbilde, das Lifetime ewig bedeuten wird. Das kann sich schneller ändern, als man glaubt.