Песочница браузера
Что такое Песочница браузера?
Песочница браузераСлой изоляции уровня ОС, ограничивающий рендерер и вспомогательные процессы браузера, чтобы скомпрометированный веб-код не мог читать файловую систему или другие приложения.
Песочница браузера — это набор механизмов ОС, которыми главный процесс ограничивает менее доверенные дочерние процессы (рендерер, GPU-процесс, плагины, сетевой сервис) минимально необходимым набором возможностей. Chromium использует job objects и уровни integrity в Windows, Seatbelt в macOS, seccomp-bpf и namespaces в Linux; Firefox применяет схожие примитивы. Даже если атакующий код или повреждение памяти в рендерере выполнилось, песочница не даёт произвольно обращаться к файлам, выполнять команды или взаимодействовать с другими процессами — для этого нужен отдельный sandbox escape. Совместно с Site Isolation песочница является ключевой защитой современного браузера и регулярно проверяется на Pwn2Own.
● Примеры
- 01
Рендерер Chrome в Windows работает как low-integrity job object с ограниченным токеном.
- 02
Участники Pwn2Own связывают RCE в рендерере и sandbox escape для полного выполнения кода.
● Частые вопросы
Что такое Песочница браузера?
Слой изоляции уровня ОС, ограничивающий рендерер и вспомогательные процессы браузера, чтобы скомпрометированный веб-код не мог читать файловую систему или другие приложения. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Песочница браузера?
Слой изоляции уровня ОС, ограничивающий рендерер и вспомогательные процессы браузера, чтобы скомпрометированный веб-код не мог читать файловую систему или другие приложения.
Как защититься от Песочница браузера?
Защита от Песочница браузера обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Песочница браузера?
Распространённые альтернативные названия: Песочница рендерера.