Sandbox，沙盒，幾年前出現的一個“不溫不火”的技術。然而就在近一兩年，這一技術已經被廣泛應用在了安全領域的許多方面，比如殺毒軟件、瀏覽器，甚至Office 2010中，也許，Adobe Reader這樣的PDF閱讀器也將很快支持沙盒機制。沙盒技術可能會成為新一代的安全防護手段。

2010年初，著名的安全專家 Dino Dai Zovi(如果你關心計算機安全領域一定知道此人)，作出了一項預言，他認為“2010將是沙盒技術被廣泛應用的一年，不可信數據將在沙盒之中被處理?！?/P>

那么，什么是沙盒技術呢?簡單地講，沙盒是一種“環境”，來源不可信、具備破壞行為或意圖不明的程序可以在其中被執行，然而，沙盒中的所有改動并不會對操作系統造成任何影響。也許有人用過“影子系統”，這其實就是沙盒技術的一種應用。

Dai Zovi認為沙盒技術是把用戶從瀏覽器攻擊洪流中拯救出來的方舟。盡管這項技術不能堪稱完美，但這是我們應該努力的方向。因為漏洞補丁方法顯然已經不適用，我們永遠都無法贏得這種無休止的補丁競賽。

確實，傳統的病毒防御手段有著先天的不足，安全軟件實際上是在努力縮短著“病毒誕生到系統更新補丁”所用的時間。雖然廠商可以及時發布補丁，但誰也無法保障這個補丁能同樣快速地被安裝在用戶的電腦中。尤其在互聯網時代，病毒可以以極低的成本和極高的更新速度沖擊每一個用戶的電腦，這也就使得“漏洞補丁方法”疲態盡顯。當一種防御機制達到極限時，轉變一下思路，從另一條路走向“羅馬”也許是我們應當做的。

在Dai Zovi的一篇文章中提到，兩項技術的普及對基于網絡(Network-based)的互聯網病毒影響是深遠的：一是Windows XP SP2的普及，原因很簡單，因為XP內置了防火墻，并且默認是開啟的;二是WI-FI的普及，因為當無線路由器走進千家萬戶時，等于人人也都用上了防火墻(Firewall)。俗話說，蒼蠅不叮無縫的蛋，而這兩件事情極大地減少了黑客從外到內可以下手的通路，剩下的可能就只有80端口(HTTP)和110端口(POP3)了。

但防火墻也不是萬能的，它雖然可以關閉進入用戶電腦的通路，但對于“放行”的通路，防火墻并不會檢查流量中所傳輸的內容。目前安全威脅進入用戶電腦基本有兩種途徑，即網頁瀏覽和郵件的惡意附件。而這兩種安全威脅都是基本內容的，與端口無關，所以防火墻此時是無能為力的。

防火墻在網絡層面關閉了進入用戶電腦的通路(Surface)，所以基于端口的攻擊變得不再有效，于是黑客們將目光放在了軟件上。任何軟件都可能存在漏洞，關鍵是如何利用這些漏洞。用戶在上網時，瀏覽器可能會將病毒或木馬帶進系統中來，這時惡意軟件將會對目標漏洞發起攻擊，甚至可能關閉WINDOWS內置的防火墻，雖然它無法關閉無線路由器的防火墻，但這個防火墻一般是對外不對內的，木馬可以上傳任何數據，而此時防火墻是“透明”的。

當黑客都盯上“80端口”時，瀏覽器的優劣就變得異常重要了，這絕不是開玩笑，瀏覽器是用戶的第一個安全屏障，使用優秀的瀏覽器絕對比考慮使用哪款安全軟件重要，不用懷疑!

如何使瀏覽器更安全呢?首先當然是選用最新版本，不要迷戀過時瀏覽器的所謂速度，比如IE6，它除了速度可能已經一無是處(推薦閱讀：IE6該不該被拋棄?)。第二，也許我們應當為軟件建立起一道防火墻。Dai Zovi認為，傳統防火墻是服務于網絡的，而沙盒是服務于軟件的。沙盒雖然并不完美，但它可以像防火墻一樣，大大提升惡意軟件對系統造成損害的難度。

將整個系統放入沙盒之中雖然可以大大提升安全性，但這其實也不是一個好主意，因為所有操作并非都存在風險，這時需要的是定點保護，比如將瀏覽器和郵件的附件放入沙盒之中。

將沙盒技術應用在瀏覽器中，這一領域中走在前面的是Google 的Chrome。谷歌全球研發總監萊納斯•厄普森就曾表示：“我們完全摒棄了每一款瀏覽器都允許訪問電腦其他部分的處理方式，這樣可以真正限制那些利用瀏覽器進行攻擊的做法?！?/P>

谷歌原來保護用戶的做法是，在用戶通過搜索結果訪問存在惡意軟件網頁時提醒用戶，或者完全從搜索結果中剔除這類網站。但現在依靠“沙盒技術”，谷歌在用戶硬件和惡意劫持電腦的應用程序之間豎起了一道防護墻。

其實，現在主流的瀏覽器都開始支持沙盒技術，像蘋果的Safari、Firefox也將在下一版中應用這一技術，在 Windows Vista和7中，IE被運行在“低相關(Low Integrity)”環境中，所以它很難損害到用戶的系統。相信通過各大廠商的努力，瀏覽器會越來越安全。

但是，郵件附件呢?這可能就要看微軟和 ADOBE的了。 在最新版Office 2010中，微軟首次將沙盒技術應用其中，被稱為“安全閱讀 (Protected View)”模式。使用安全閱讀模式時，Office 2010會在獨立的沙盒中為Word、Excel和PowerPoint文檔提供只讀環境，沙盒技術將最小化某個文檔對系統的訪問并將其與其他文檔隔離開來，即使用戶讀取的文檔是惡意文件，它也無法從沙盒中逃脫出來，當然也無法對系統和其它數據造成傷害。

ADOBE的PDF格式普及率也是相當高的，而且據一些統計顯示，ADOBE在漏洞數量方面大有趕超微軟之勢，在這方面，PDF與FLASH“功不可沒”。前不久，飯盒正巧遇到一個 PDF測試工具，不測不知道，一測嚇一跳，ADOBE Reader雖然給出了風險提示，但除了Reader，相信很多人用的其實是非官方的PDF閱讀軟件，其小巧快速抓住了許多用戶的心，然而安全性似乎是它們的通病。(推薦閱讀：經常與PDF打交道的人小心了) 如果沙盒技術得到普及，這在一定程度上似乎也是在暗示“特征碼匹配查殺”技術即將走到頭了。

其實，無論是病毒特征碼匹配還是這兩年比較火的URL匹配都存在一個無法克服的先天性不足——“容量”，很難想象它們如何應付呈幾何倍甚至是爆炸式增長的信息總量。

安全廠商、瀏覽器廠商、 Google、微軟等其實是在與黑客“爭奪用戶”。不過，以前這場戰爭似乎只有兩個主角——安全廠商與黑客。悲觀地說，飯盒以為，安全廠商會慢慢輸掉這場戰爭，因為沒有理由支持黑客會輸，而用戶其實是被動的被選擇者——這一點從Windows防火墻和WI-FI的普及就可以看出，安全其實是廠商打包賣給用戶的，而不是用戶主動“開啟”的。瀏覽器廠商、Google(搜索)、微軟(Office等)等的加入，其實是在各自擅長的領域為用戶筑起了第一道“防火墻”，后面還有眾多安全廠商。這樣看來，也許互聯網的明天并不會變得太糟糕。

【編輯推薦】

1. 殺軟不再重要沙盒將統治桌面安全？
2. 谷歌Chrome沙盒技術成瀏覽器安全標準