【Chromium中文文檔】沙箱FAQ

沙箱FAQ

轉載請註明出處：https://ahangchen.gitbooks.io/chromium_doc_zh/content/zh//General_Architecture/Sandbox_FAQ.html

全書地址
Chromium中文文檔 for https://www.chromium.org/developers/design-documents
持續更新ing，歡迎star
gitbook地址：https://ahangchen.gitbooks.io/chromium_doc_zh/content/zh//
github地址： https://github.com/ahangchen/Chromium_doc_zh

什麼是沙箱？

沙箱是一個允許沙箱進程創建的C++庫，沙箱進程是一種運行在非常限制性的環境中的進程。沙箱進程可以唯一自由使用的資源是CPU週期和內存。例如，沙箱進程不能寫磁盤或者顯示他們自己的窗口。它們真正能做的事情由一種明確的策略鎖控制。Chromium渲染器都是沙箱化進程。

沙箱可以保護什麼，不能保護什麼？

沙箱限制了運行在沙箱中的代碼的bug的危害。這些bug不能在用戶的賬號中安裝持久性的惡意軟件（因爲寫文件系統被禁止），這些bug也不能讀取或者從用戶的設備中盜取任何文件。

（在Chromium中，渲染器進程是沙箱化的，它們處於這種保護中。Chromium插件還沒有運行在沙箱中，因爲許多插件的設計基於這樣一個假設：它們對本地系統有着完全的訪問權限。另外也要注意，Chromium渲染器進程與系統相隔離，但還未與網絡相隔離。所以，基於域名的數據隔離還未提供）。

沙箱不能爲系統組件（比如系統內核正在運行的組件）中的bug提供任何保護。

沙箱像JVM？

恩，有點像…除了你必須爲Java沙箱的優點重寫代碼以使用Java。在我們的沙箱中，你可以向你現有的C/C++應用程序添加沙箱。由於代碼並非執行於虛擬機中，你可以得到原生的速度，以及對Windows API的直接訪問。

我需要安裝驅動或者內核模塊嗎？用戶需要有管理員身份嗎？

不用。沙箱是一個純用戶模式庫，任何用戶可以運行沙箱化進程。

如果沒有虛擬機，你該怎樣用C++實現沙箱？

我們爲Windows安全模型劃分等級。在Windows裏，沒有進行系統調用的話，代碼不能執行任何形式的I/O（無論是磁盤，鍵盤，還是顯示器）。在大多數系統調用裏，Windows執行一些安全檢查。沙箱會設置好環境，這樣你不願沙箱化進程執行的動作就會因安全檢查而失敗。在Chromium中，沙箱就是這樣，因此所有訪問檢查都會失敗。

所以一個沙箱化進程（比如渲染器）是如何完成任務的？

某些交流通道會顯式暴露給沙箱化進程；這些進程可以從這些通道進行讀寫。優先級更高的進程可以使用這些通道代表沙箱化進程執行一些動作。在Chromium中，優先級更高的進程通常是指瀏覽器進程。

Vista沒有類似的功能嗎？

有的，它被成爲信用等級（ILs）。沙箱檢測Vista並使用信用等級。主要的不同在於沙箱在Windows XP下良好運行。我們知道的唯一使用信用等級的程序是IE7。換言之，沙箱庫會幫你完成對新的Vista安全特性進行分級。

這看起來很乾淨。我可以在自己的程序裏使用沙箱嗎？

可以。沙箱對Chromium瀏覽器沒有任何重度依賴，它就是設計用於面向Internet的應用程序。主要的障礙在於你要把你的程序分成至少兩個交互進程。一個進程具有比較高的優先級，執行I/O，與用戶進行交互；另一個進程基本上沒有什麼優先權力，並執行不受信任的數據處理。

需要做很多工作嗎？

可能需要。但這是值得的，如果你的程序需要處理任意的不受信任的數據時更是如此。你的代碼中可能有的任何緩衝溢出或者格式解碼缺陷不會自動導致惡意代碼對整臺計算機造成危害。沙箱不是一個安全銀彈，但對於那些惡意使用來說，沙箱是一道強大的最後屏障。

我需要了解什麼陷阱嗎？

你首先需要記住，你只需要將你完全可控的代碼或者完全理解的代碼沙箱化。沙箱化第三方代碼可能非常困難。例如，你可能不知道第三方代碼需要創建臨時文件或者彈出警告對話框；除非你顯式允許，這些操作不會成功執行。更進一步，第三方組件可以用你預料之外的新形式更新最終用戶的設備。

COM, Winsock, 或DirectX在這裏又如何？ — 我可以使用它們嗎？

在絕大多數情況下，不可以。我們不推薦在鎖定前使用它們（但也只能在鎖定前使用它們）。一旦一個沙箱化進程被鎖定，使用Winsock，COM，或者DirectX不是會產生故障就是會徹底失敗。

在鎖定前是什麼意思？沙箱化進程不是從一開始就鎖定了的嗎？

不是，沙箱化進程並非從一開始就是處於保護之中。沙箱在進程調用LowerToken()後纔開始生效。這允許進程啓動時有一段時間沙箱化進程可以自由地管理關鍵資源，加載庫，或者讀取配置文件。進程需要在它開始與不受信任的數據交互前儘快調用LowerToken()。

注意：如果你的進程被惡意軟件感染了，任何在調用LowerToken()後的仍然開放的操作系統句柄會被惡意軟件濫用。所以我們不鼓勵調用COM或者其他重量級API，它們會爲了將來的調用效率遺留一些開放的句柄。

所以你可以調用什麼API？

並沒有安全API的權威列表。通常，你應該結構化你的代碼，這樣沙箱化代碼可以從管道或共享內存讀寫或者用其他方式操作數據。在Chromium中，整個WebKit代碼都是用這種方式運行的，輸出大部分是網頁渲染後的位圖。你可以將Chromium作爲你自己的基於內存或基於管道的IPC的靈感來源。

惡意軟件不可以感染管道或共享內存另一端的處理嗎？

是的，如果另一端有bug的話，它可以。關鍵在於，編寫和分析一個正確的IPC機制比編寫一個web瀏覽器引擎要簡單得多。所以我們將IPC代碼做得儘可能簡單，並且交由另一端去review。