Browser in virtueller Box oder Sandbox ausführen?

humanica

Lt. Junior Grade
Dabei seit
Juni 2015
Beiträge
321
Hallo,

ich hätte gerne maximale Sicherheit beim Surfen ohne dabei den Komfort stark einzuschränken.
Welche Lösungen gibt es, den Browser vom System zu isolieren?
Dabei sollte die Möglichkeit bestehen, heruntergeladene Dateien nach expliziter Zustimmung ins System auszuleiten.
Eine ganze Linux VM klingt nach einem absoluten Overkill und das Subsystem von Windows kann keine grafischen Oberflächen.
Hat jemand dafür eine gute Lösung?
 
Bash:
docker run --rm --name=firefox -p 5800:5800 -v /docker/appdata/firefox:/config:rw --shm-size 2g jlesage/firefox


musst nur schauen wie du docker unter windows nutzt - das startet einen Firefox+vnc server im container und du kannst ihn mit beliebigem vnc client aufrufen. (oder direkt in einem anderen browser :p)
 
Wenn ich mich richtig erinnere wurde für das WSL ein Update angekündigt mit dem dann auch GUI Anwendungen aufgerufen werden können, das könnte eine Lösung für dich sein.
 
WSL scheint mir aber so oder so ungeeignet da es ja ungebremst Zugriff auf deinen Windows-Nutzerorder hat, also gesandboxed ist da nichts... WSL2 läuft zwar technisch in ner VM, aber auch da wird ja das Windows-Dateisystem reingemounted.
 
Zitat von humanica:
Welche Lösungen gibt es, den Browser vom System zu isolieren?
Die üblichen Browser haben bereits Sandboxing integriert. Insofern ist es gar nicht so dringend nötig da noch mehr zu machen als ohnehin schon da ist.

Prinzipiell kann man aber trotzdem eine Sandbox noch drum herum bauen. Das geht auch relativ einfach mit Betriebssystemeigenen Mitteln.

Die einfachste Variante wäre den Browser unter einem eigenen Nutzeraccount laufen zu lassen. Jeder Nutzer hat nämlich nur Vollzugriff auf seine eigenen Dateien, so das man damit natürlicherweise eine Sandbox hat (viele Systemdienste machen sich dieses Prinzip zunutze). Das heißt nicht, das man sich dann zum surfen ausloggen/einloggen muss. Man kann nämlich mit Hilfe von runas einfach einzelne Programme unter einem anderen Nutzeraccount laufen lassen (den muss man natürlich vorher angelegt haben).

Ein recht einfacher Sandbox-Mechanismus wurde bei Windows im Zuge von Vista eingeführt. Nämlich der geschützte Modus des InternetExplorer. Das ist auch eine Möglichkeit Prozessen Rechte zu entziehen. Und das funktioniert nicht nur beim InternetExplorer.
Realisiert wird das über das Windows-API mit Hilfe von CreateRestrictedToken. Es gibt mit psexec auch ein Kommandozeilenprogramm, das das Feature auch ohne eigene Programmierung zugänglich macht und man dann Aufrufe machen kann wie:
psexec -l "c:\program files\Mozilla Firefox\firefox.exe"
 
Zurück
Top