Sandbox-Browser zum sicheren Anzeigen bösartiger Websites

Ich empfehle eine VM mit dem Betriebssystem und den Browsern Ihrer Wahl. Mit den Snapshot/Clone-Funktionen können Sie jederzeit zum ursprünglichen Vanilla-Zustand zurückkehren.

Drei der Vorteile:

• Verwenden Sie eine beliebige Betriebssystem/Browser-Kombination (viele bösartige Websites greifen oft spezielle Kombinationen an, z. B. Windows XP/7/IE oder OS/Flash)
• Sie können jede Auswirkung auf das Dateisystem sicher erkennen, indem Sie das gemountete Vanilla- und das infizierte Volume (im Nur-Lese-Modus) vergleichen.
• Sie können fseventer oder dtrace (Mac OS X) oder andere Tools (Win/Linux) ohne Beeinträchtigung Ihres realen Betriebssystems ausführen.

Eine andere Möglichkeit wird hier in einem Artikel aus dem Jahr 2010 skizziert. Weiß nicht, ob es noch funktioniert:

OS X verfügt über eine integrierte Sandbox-Funktion für Anwendungen, die deren Zugriff auf bestimmte Teile des Systems einschränken kann. Es ist nicht viel Dokumentation zum Sandboxing-System verfügbar, aber ich konnte Firefox erfolgreich sandboxen. Es hat einige Einschränkungen, aber meine Plug-Ins und Add-Ons funktionieren, Ihre jedoch möglicherweise nicht.

Wenn Sie Probleme haben, müssen Sie nach den Verzeichnissen suchen, in denen sich Ihre Plug-Ins befinden, und der Firefox-Sandbox-Datei Lese- oder Lese-/Schreibzugriff erteilen. Es gibt nur Schreibrechte für das Verzeichnis ~/Downloads. Wenn Sie also Dateien an einem anderen Ort speichern möchten, müssen Sie die Firefox-Sandbox-Datei ändern oder sie verschieben, nachdem der Download abgeschlossen ist. Erstellen Sie zunächst die folgende Datei und speichern Sie sie irgendwo als Firefox-Sandbox:

;; http://codereview.chromium.org/379019/diff/1/2
(version 1) 
(deny default)

(allow file-write* file-read-data file-read-metadata
  (regex "^/Users/user_name/Downloads")
  (regex "^/Users/user_name/Library/Application Support/Mozilla")
  (regex "^/Users/user_name/Library/Application Support/Firefox")
  (regex "^/Users/user_name/Library/Preferences")
  (regex "^/Users/user_name/Library/PreferencePanes")
  (regex "^/Users/user_name/Library/Caches/Firefox")
  (regex "^/Users/user_name/Library/Caches/TemporaryItems")
  (regex "^/Applications/Firefox.app")
  (regex "^(/private)?/tmp/"))

(allow file-read-data file-read-metadata
  (regex "^/dev/autofs.*")
  (regex "^/Library/Preferences")
  (regex "^/Library/Internet Plug-Ins")
  (regex "^/Library/PreferencePanes")
  (regex "^/usr/share/icu")
  (regex "^/usr/share/locale")
  (regex "^/System/Library")
  (regex "^/Applications/Firefox.app")
  (regex "^/usr/lib")
  (regex "^/var")
  (regex #"Frameworks/SDL.framework")
; Our Module Directory Services cache
  (regex "^/private/var/tmp/mds/")
  (regex "^/private/var/tmp/mds/[0-9]+(/|$)")
  (regex "^/Users/user_name"))

(allow mach* sysctl-read)

(import "/usr/share/sandbox/bsd.sb")
(deny file-write-data
   (regex #"^(/private)?/etc/localtime$"
     #"^/usr/share/nls/"
     #"^/usr/share/zoneinfo/"))

(allow process-exec 
  (regex "^/Applications/Firefox.app"))

(allow network*)

Ersetzen Sie die Teile /Applications/Firefox.app.... durch den Pfad zu Firefox auf Ihrem System. Ersetzen Sie außerdem user_name durch Ihren Benutzernamen. Öffnen Sie als Nächstes ein Terminal und führen Sie diesen Befehl aus:

sandbox-exec -f firefox-sandbox /Applications/Firefox.app/Contents/MacOS/firefox-bin

Stellen Sie sicher, dass sich die Firefox-Sandbox-Datei in dem Verzeichnis befindet, in dem Sie den obigen Befehl ausführen, und Firefox sollte in einer geschützten Sandbox gestartet werden.