Sandbox，沙盒，幾年前呈現(xiàn)的一個“不溫不火”的技巧。然而就在近一兩年，這一技巧已經(jīng)被廣泛利用在了安全范疇的許多方面，比如殺毒軟件、瀏覽器，甚至Office 2010中，也許，Adobe Reader這樣的PDF瀏覽器也將很快支撐沙盒機(jī)制。沙盒技巧可能會成為新一代的安全防護(hù)手段。

2010年初，著名的安全專家 Dino Dai Zovi(如果你關(guān)心盤算機(jī)安全范疇必定知道此人)，作出了一項(xiàng)預(yù)言，他認(rèn)為“2010將是沙盒技巧被廣泛利用的一年，不可信數(shù)據(jù)將在沙盒之中被處理�！�

那么，什么是沙盒技巧呢?簡略地講，沙盒是一種“環(huán)境”，起源不可信、具備損壞行動或意圖不明的程序可以在其中被履行，然而，沙盒中的所有修正并不會對操作系統(tǒng)造成任何影響。也許有人用過“影子系統(tǒng)”，這其實(shí)就是沙盒技巧的一種利用。

Dai Zovi認(rèn)為沙盒技巧是把用戶從瀏覽器攻擊洪流中拯救出來的方舟。盡管這項(xiàng)技巧不能堪稱完善，但這是我們應(yīng)當(dāng)努力的方向。因?yàn)槁┒囱a(bǔ)丁方法顯然已經(jīng)不實(shí)用，我們永遠(yuǎn)都無法博得這種無休止的補(bǔ)丁比賽。

確實(shí)，傳統(tǒng)的病毒防御手段有著先天的不足，安全軟件實(shí)際上是在努力縮短著“病毒出生到系統(tǒng)更新補(bǔ)丁”所用的時間。雖然廠商可以及時發(fā)布補(bǔ)丁，但誰也無法保障這個補(bǔ)丁能同樣快速地被安裝在用戶的電腦中。尤其在互聯(lián)網(wǎng)時代，病毒可以以極低的成本和極高的更新速度沖擊每一個用戶的電腦，這也就使得“漏洞補(bǔ)丁方法”疲態(tài)盡顯。當(dāng)一種防御機(jī)制達(dá)到極限時，轉(zhuǎn)變一下思路，從另一條路走向“羅馬”也許是我們應(yīng)當(dāng)做的。

在Dai Zovi的一篇文章中提到，兩項(xiàng)技巧的普及對基于網(wǎng)絡(luò)(Network-based)的互聯(lián)網(wǎng)病毒影響是深遠(yuǎn)的：一是Windows XP SP2的普及，原因很簡略，因?yàn)閄P內(nèi)置了防火墻，并且默認(rèn)是開啟的;二是WI-FI的普及，因?yàn)楫?dāng)無線路由器走進(jìn)千家萬戶時，等于人人也都用上了防火墻(Firewall)。俗話說，蒼蠅不叮無縫的蛋，而這兩件事情極大地減少了黑客從外到內(nèi)可以下手的通路，剩下的可能就只有80端口(HTTP)和110端口(POP3)了。

但防火墻也不是萬能的，它雖然可以關(guān)閉進(jìn)入用戶電腦的通路，但對于“放行”的通路，防火墻并不會檢查流量中所傳輸?shù)膬?nèi)容。目前安全要挾進(jìn)入用戶電腦基礎(chǔ)有兩種道路，即網(wǎng)頁瀏覽和郵件的惡意附件。而這兩種安全要挾都是基礎(chǔ)內(nèi)容的，與端口無關(guān)，所以防火墻此時是無能為力的。

防火墻在網(wǎng)絡(luò)層面關(guān)閉了進(jìn)入用戶電腦的通路(Surface)，所以基于端口的攻擊變得不再有效，于是黑客們將眼光放在了軟件上。任何軟件都可能存在漏洞，要害是如何利用這些漏洞。用戶在上網(wǎng)時，瀏覽器可能會將病毒或木馬帶進(jìn)系統(tǒng)中來，這時惡意軟件將會對目標(biāo)漏洞發(fā)起攻擊，甚至可能關(guān)閉WINDOWS內(nèi)置的防火墻，雖然它無法關(guān)閉無線路由器的防火墻，但這個防火墻一般是對外不對內(nèi)的，木馬可以上傳任何數(shù)據(jù)，而此時防火墻是“透明”的。

當(dāng)黑客都盯上“80端口”時，瀏覽器的優(yōu)劣就變得異常重要了，這絕不是開玩笑，瀏覽器是用戶的第一個安全屏障，應(yīng)用優(yōu)良的瀏覽器絕對照考慮應(yīng)用哪款安全軟件重要，不用猜忌!

如何使瀏覽器更安全呢?首先當(dāng)然是選用最新版本，不要迷戀過時瀏覽器的所謂速度，比如IE6，它除了速度可能已經(jīng)一無是處(推薦瀏覽：IE6該不該被拋棄?)。第二，也許我們應(yīng)當(dāng)為軟件建立起一道防火墻。Dai Zovi認(rèn)為，傳統(tǒng)防火墻是服務(wù)于網(wǎng)絡(luò)的，而沙盒是服務(wù)于軟件的。沙盒雖然并不完善，但它可以像防火墻一樣，大大提升惡意軟件對系統(tǒng)造成侵害的難度。

將全部系統(tǒng)放入沙盒之中雖然可以大大提升安全性，但這其實(shí)也不是一個好主意，因?yàn)樗胁僮鞑⒎嵌即嬖陲L(fēng)險，這時需要的是定點(diǎn)保護(hù)，比如將瀏覽器和郵件的附件放入沙盒之中。

將沙盒技巧利用在瀏覽器中，這一范疇中走在前面的是Google 的Chrome。谷歌全球研發(fā)總監(jiān)萊納斯•厄普森就曾表現(xiàn)：“我們完整摒棄了每一款瀏覽器都容許訪問電腦其他部分的處理方法，這樣可以真正限制那些利用瀏覽器進(jìn)行攻擊的做法�！�