测试动态 / 质量专栏 /什么是浏览器沙盒?
什么是浏览器沙盒?
2022-04-22 浏览次数:151

随着业务环境的快速变化,安全性是开发人员和测试人员在现代 Web 开发周期中面临的最大挑战之一。构建和部署现代 Web 应用程序的复杂性导致更多的安全漏洞。根据IBM 和 Ponemon Institute 的数据泄露成本报告,2021 年,数据泄露成本从 386 万美元(2019 年的平均成本)上升到 424 万美元,这是该报告 17 年来的最高平均成本。

因此,网络安全在软件开发生命周期中变得越来越重要,以确保用户数据的安全和隐私。如果您可以在不担心安全漏洞的情况下开发和测试网站和 Web 应用程序,那不是很好吗?沙盒是一种可以帮助您实现这一目标的技术。沙盒是一种安全隔离应用程序、Web 浏览器和一段代码的方法。它可以防止恶意或有故障的应用程序攻击或监视您的 Web 资源和本地系统。

在现实世界中,沙盒是被围墙围起来的儿童游乐区。它可以让孩子们在没有沙子的情况下玩沙子。同样,沙盒浏览器创建了一个隔离环境,用户可以在其中从第三方来源下载和安装应用程序,并在安全、隔离的环境中运行它们,即使他们的行为可疑。因此,沙盒浏览器可以保护您的计算机免受额外的安全风险。

在本文中,我们将探讨什么是浏览器沙盒、不同类型沙盒的好处和重要性,以及如何实现它。

什么是浏览器沙盒?

为了防止系统或 Web 应用程序中的安全漏洞,开发人员需要弄清楚如何处理它们。这是浏览器沙盒派上用场的时候。浏览器沙箱提供了一个安全的虚拟环境来测试有害代码或运行第三方软件,而不会损害您系统的数据或本地文件。

例如,如果您在沙箱中下载恶意附件,它不会损坏您系统的现有文件或资源。Sandbox 具有同源功能,它允许 JavaScript 在网页上添加或自定义元素,同时限制对外部 JSON 文件的访问。

如今,Chrome、Firefox 和 Edge 等流行的网络浏览器都带有内置沙箱。沙盒浏览器的最终目标是保护您的机器免受与浏览相关的风险。因此,如果用户从网站下载恶意软件,该软件就会被下载到浏览器的沙箱中。关闭沙箱后,其中的所有内容(包括有害代码)都会被清除。

浏览器沙盒使用两种隔离技术来屏蔽用户的 Web 浏览活动和系统硬件、本地 PC 和网络:本地浏览器隔离、远程浏览器隔离

本地浏览器隔离

本地浏览器隔离是一种传统的浏览器隔离技术,它运行沙箱中的虚拟浏览器或用户本地基础架构上的虚拟机。它有助于将数据与外部安全威胁和不安全的浏览隔离开来。例如,如果恶意元素潜入,影响将仅限于沙盒浏览器和虚拟机。

远程浏览器隔离

远程浏览器隔离涉及一种虚拟化技术,其中浏览器在基于云的服务器(公共云和私有云)上运行。在远程隔离中,用户的本地系统没有浏览活动,浏览器沙箱、过滤和风险评估在远程服务器上进行。

远程浏览器隔离涉及两种方法来隔离用户本地基础设施和 Web 内容。

1.DOM 镜像:在这种技术中,浏览器并不完全与用户的本地系统隔离。但是,DOM 镜像技术会过滤恶意内容并将其余内容呈现给用户。

2.视觉流:这种技术提供了完整的远程浏览器隔离。视觉流的工作方式类似于 VDI(虚拟桌面基础架构)系统,其中浏览器在基于云的服务器上运行,视觉输出显示到用户的本地计算机。

为什么浏览器沙盒很重要?

现代 Web 技术正在迅速扩展,从而允许用户轻松开发和发布网站和 Web 应用程序。与此同时,对 Web 应用程序的需求也在以前所未有的速度增长。根据一项调查,Web 应用程序是 50% 的数据泄露事件的来源。因此,拥有一个安全、受控的环境(如沙盒浏览器)以在不损害本地基础架构和系统资源的情况下执行操作至关重要。

例如,用户正在沙箱中运行 Web 浏览器。如果恶意代码或文件利用 Web 浏览器漏洞,其影响将限制在沙箱内。此外,引爆程序可以帮助发现新的漏洞并在 Web 浏览器中缓解这些漏洞。但是,如果沙盒浏览器被禁用,恶意程序可以利用 Web 浏览器漏洞并破坏用户的本地系统和资源。

沙盒的好处

将沙盒整合到您的 Web 开发工作流程中具有多种优势。下面提到了一些优点。

1.沙盒保护设备和操作系统免于暴露于潜在威胁。

2.与未经授权的一方或供应商合作时,最好使用沙盒环境。在部署之前,您可以使用沙箱测试可疑代码或软件。

3.沙盒可以帮助防止零日攻击。由于开发人员无法发现漏洞的即时补丁,因此零日攻击本质上是有害的。因此,沙盒通过隐藏系统中的恶意软件来减轻损害。

4.沙盒环境隔离威胁和病毒。这有助于网络专家研究和分析威胁趋势。它可以防止未来的入侵和识别网络漏洞。

5.沙盒应用程序是一种混合解决方案,这意味着它们可以在本地和远程(基于云的服务器)部署。混合系统比传统解决方案更安全、更可靠且更具成本效益。

6.沙盒和 RDP(远程桌面协议)设置可帮助企业确保安全的外部网络连接。

7.沙盒可以与防病毒或其他安全工具和策略结合使用,以加强您的整个安全生态系统。

哪些资产正在被沙盒化?

我们在日常工作流程中使用的大部分资产,如在线浏览器、网页、PDF、移动应用程序和 Windows 应用程序,都是沙盒化的。

下面列出了正在沙盒化的资产。

1.Web 浏览器:潜在易受攻击的浏览器在沙盒环境中运行。

2.浏览器插件:加载内容时,浏览器插件在沙箱中运行。沙盒浏览器插件,如 Java,更容易受到攻击。

3.网页:浏览器以沙盒模式加载网页。由于网页是内置的 JavaScript,它无法访问本地计算机上的文件。

4.移动应用程序:Android 和 iOS 等移动操作系统以沙盒模式运行其应用程序。如果他们希望访问您的位置、联系人或其他信息,他们会弹出权限框。

5.Windows 软件和程序:在更改系统文件之前,Windows 操作系统中的用户帐户控制 (UAC) 会请求您的许可。UAC 的功能类似于沙盒,但它不提供完整的保护。但是,不应禁用它。

不同类型的沙盒

在有关浏览器沙盒的这一部分中,我们将讨论不同类型的沙盒。沙盒分为三类:应用程序沙盒、浏览器沙盒、安全沙盒

应用程序沙盒

使用应用程序沙箱,您可以在沙箱中运行不受信任的应用程序,以防止它们损坏您的本地系统或窃取数据。它有助于创建一个安全的环境,在该环境中应用程序可以在没有损坏系统的风险的情况下运行。通过将应用程序与用户的本地计算机隔离,应用程序沙盒增强了应用程序的完整性。

浏览器沙盒

可以在沙箱中执行基于浏览器的潜在恶意应用程序,以防止它们对您的本地基础架构造成损害。它导致建立一个安全的环境,在该环境中 Web 应用程序可以在不损害系统的情况下运行。引爆技术可以帮助发现 Web 浏览器中的新漏洞及其缓解措施。

安全沙盒

安全沙盒可让您探索和检测可疑代码。它扫描附件并识别可能有害的网站列表,并确定一个人是否下载或安装受感染的文件。

使用内置沙盒浏览器进行沙盒

沙盒预装在 Chromium、Firefox 和 Edge 等流行浏览器中,以保护您的系统免受浏览漏洞的影响。让我们看看沙盒在不同的浏览器中是如何工作的。

Chromium 浏览器沙盒

Google Chrome 和 Microsoft Edge 是基于 Chromium 浏览器构建的。代理和目标是构成 Chromium 浏览器沙箱的两个进程。目标进程是子进程,而浏览器进程是代理进程。目标进程的代码在沙盒环境中执行。代理进程在子进程和硬件资源之间起作用,为子进程提供资源。

火狐浏览器沙盒

为了保护本地系统免受威胁,Firefox 在沙箱中执行不受信任的代码。Firefox 浏览器通过使用父进程和子进程进行沙盒化。浏览时,潜在的恶意程序会在沙箱中运行。在沙盒化期间,父进程是子进程与其余系统资源之间的中介。

您可以更改 Firefox 浏览器中的沙盒程度,使其限制最少、中等或高度限制。

0 级:最少限制;1 级:中等;2 级:高度限制

要检查 Firefox 沙盒浏览器的级别,请在地址栏中传递以下命令。

1

about:config

在页面上,它将加载 Firefox 可配置变量。现在在配置页面上按 CTRL+F。在搜索框中输入以下命令,然后按 Enter。

边缘浏览器沙盒

当您启动 Edge 沙盒浏览器 Windows 10 时,您将看到一个全新的桌面,其中只有回收站和 Edge 快捷方式。它显示开始菜单和其他图标,但它们在此沙盒环境中不起作用。您可以在标准 Windows 10 上访问它们,而不是沙盒化的 Windows 10。

当您关闭 Edge 浏览器沙箱时,您的浏览器历史记录将不再可用。您的 ISP 可能会跟踪沙箱中的操作,但此数据不可审计。

禁用 Google Chrome 沙盒

在执行基于 Chrome 的沙盒测试时,您可能会遇到沙盒功能可能导致 Chrome 浏览器闪现错误的场景——应用程序初始化失败。

在这种情况下,您可能需要禁用 Chrome 浏览器沙箱。以下是以下步骤。

  1. 如果您没有 Google Chrome 沙盒快捷方式,请创建一个。

  2. 右键单击快捷方式并选择Properties。

  3. 选择属性

  4. 在 Target 中提供的应用程序路径中输入以下命令。

  5. 1

    --no-sandbox

    目标中提供的应用程序路径

  6. 单击应用,然后单击确定

浏览器沙盒:它是 100% 安全的吗?

大多数网络浏览器都使用沙箱。然而,互联网仍然是病毒和其他恶意软件的来源。沙盒的级别似乎有所不同。不同的 Web 浏览器以不同的方式实现沙盒,因此很难弄清楚它们是如何工作的。但是,这并不意味着所有的网络浏览器都不安全。另一方面,浏览器沙箱可以使它们更安全。

但如果你问它是否提供 100% 的安全性,答案是否定的!如果某些浏览器组件使用 Flash 和 ActiveX,它们可能会延伸到沙箱之外。

常见问题 (FAQ)

Chrome 中的沙盒是什么?

沙盒浏览器允许您在隔离环境中运行基于 Web 的浏览器应用程序,从而保护您的本地系统、资源和网络免受恶意代码和程序的侵害。

浏览器如何使用沙盒?

浏览器沙箱可以保护您的本地 PC 免受潜在的浏览风险。许多网站在不知不觉中包含恶意代码。因此,从网站下载的任何恶意代码都会下载到您 PC 上的沙箱中。

浏览器沙箱安全吗?

浏览器沙箱可保护您免受各种恶意攻击。所有不受信任和未经授权的网站都受到严格的安全制度的约束。


卓码软件测评是一家[ 具备CMA、CNAS双重资质 ]的专业做软件测试的第三方软件测试服务机构, 可根据您的需求提供各类软件测试服务,并出具合格有效的软件测试报告。点击→→可了解测试报价

部分文字、图片来自网络,如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。负责人:曾菲       电话:4006070568


文章标签: 跨浏览器测试
专业测试,找专业团队,请联系我们!
咨询测试报价 400-607-0568