Abo
  • Services:

Entwickler sollen Whitelists definieren können

In Zukunft soll es für Entwickler und Nutzer möglich sein, Whitelists für bestimmte Programme zu definieren. Dann könnten auch Applikationen in der Sandbox geladen werden, die derzeit vom Subgraph-Team nicht unterstützt werden. Subgraph hat aber auch eine Blacklist von System Calls, die überhaupt nicht verwendet werden. Schon heute lassen sich die vordefinierten zugelassenen System Calls vom Nutzer bearbeiten - die Einstellungen lassen sich in einer einfachen Textdatei vornehmen. Eine vollständige Auflistung aller möglichen Systemaufrufe findet sich hier.

Test läuft erstaunlich rund

Stellenmarkt
  1. PARI GmbH, Starnberg, Weilheim
  2. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Subgraph funktioniert im Test bereits erstaunlich gut, doch es gibt noch einiges zu tun. Wer derzeit eine Datei aus einer Sandbox dauerhaft speichern will, muss das über einen speziellen Export-Ordner machen. "Zurzeit ist es noch viel zu leicht, eine Datei zu verlieren", sagt Ahmad. Das derzeit verwendete System sei noch nicht selbsterklärend für die Nutzer.

Das können wir im Test nachvollziehen. Wer eine Datei aus einer Sandbox heraus exportieren will, muss zunächst über das Oz-Menü am rechten oberen Bildschirmrand die jeweilige Sandbox auswählen und kann dann einzelne Ordner hinzufügen. Von dort können dann Dateien geöffnet oder auch gespeichert werden. Ein Menü zeigt jeweils an, welche Dateien und Ordner eine Sandbox gerade geöffnet hat.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)

Die Sandbox eines Programms bleibt nur so lange geöffnet wie das jeweilige Programm selbst. Änderungen in Libreoffice, die zu dem Zeitpunkt weder gespeichert noch exportiert wurden, sind dann verschwunden. Auch die automatische Sicherung dürfte hier keinen Schutz bieten. Stürzt die Sandbox ab, sind die Daten also weg.

Wie sicher die selbst entwickelte Lösung Oz in der Praxis wirklich sein wird, werden ausführlichere Tests zeigen. Doch die Einschränkung bestimmter Operationen im Kernel-Namespace sind ein interessantes und vielversprechendes Konzept.

 Sandboxing per Namespace-RestriktionSubgraph verbindet sich über Tor - noch 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9.  
Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto
    Tesla-fahr'n auf der Autobahn
  2. EU-Urheberrechtsreform
    Das "absolute Unverständnis" des Axel Voss
  3. Niantic
    Maßnahmen gegen Massenaufläufe bei Pokémon Go beschlossen
  4. Intel
    Apple soll ab 2020 auf ARM-Prozessoren umschwenken
  5. Ceramic Speed
    Hätte, hätte - Fahrrad ohne Kette
Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  4. 5€ inkl. FSK-18-Versand
Kommentarübersicht
Re: Kuratoren ohne Durchblick
Atalanttore 05. Mai 2016

Mit den richtigen Suchbegriffen (z.B. "coy messenger linux", also mehr als nur "Coy...

Kein LibreSSL statt OpenSSL, aber "sicher"
Seitan-Sushi-Fan 27. Mär 2016

Keine Distribution mit OpenSSL ist sicher. Void Linux zeigt ja, dass es mit LibreSSL...

Ist Steam kompatibel
SjeldneJordartar 21. Mär 2016

Konnte das jemand schon testen?

Endlich ein sicheres Linux
ITLeer 21. Mär 2016

;-)

Warum nicht auf AppArmor aufgebaut?
liberavia 18. Mär 2016

gibt es da irgendwelche sachlichen Gründe warum OZ entwickelt wurde statt auf das...

Folgen Sie uns
       
Asus Zenbook Pro 14 - Test

Das Touchpad des Asus Zenbook Pro 14 ist ein kleiner Bildschirm. Hört sich nutzlos an, hat uns aber dennoch im Test überzeugt.

Asus Zenbook Pro 14 - Test Video aufrufen
Far Cry
Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort
IT-Jobs
Struktrurwandel: IT soll jetzt die Kohle nach Cottbus bringen
Struktrurwandel
IT soll jetzt die Kohle nach Cottbus bringen

In Cottbus wird bald der letzte große Braunkohle-Tagebau zum Badesee. Die ansässige Wirtschaft sucht nach neuen Geldquellen und will die Stadt zu einem wichtigen IT-Standort machen. Richten könnten das die Informatiker der Technischen Uni - die werden aber direkt nach ihrem Abschluss abgeworben.
Von Maja Hoock

  1. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  2. Recruiting Wenn die KI passende Mitarbeiter findet
  3. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
Nvidia Turing
Metro Exodus im Technik-Test: Richtiges Raytracing rockt
Metro Exodus im Technik-Test
Richtiges Raytracing rockt

Die Implementierung von DirectX Raytracing in Metro Exodus überzeugt uns: Zwar ist der Fps-Verlust hoch, die globale Beleuchtung wirkt aber deutlich realistischer und stimmungsvoller als die Raster-Version.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März
  2. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
  3. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /