Co oznacza opcja Chromium `--no-sandbox`?

54

Używam Chromium tak: chromium --no-sandbox

Robię to, ponieważ uruchamiam Debian Squeeze na kontenerze VM OpenVZ i jest to jedyny sposób, w jaki mogę go uruchomić.

Chociaż wciąż czytam, to jest okropne . Ale chcę wiedzieć, dlaczego dokładnie. Czy ktoś może mi to wytłumaczyć?

Czy ktoś musi włamać się do komputera, aby wyrządzić szkody? Czy usterka pochodzi z pliku internetowego, takiego jak plik JavaScript?

Co się stanie, jeśli zablokuję przeglądanie tylko kilku „zaufanych” witryn? (Gmail, stackexchange (oczywiście) i Facebook)

security chrome browser sandbox capdragon
źródło
8
Dawno nie widziałem facebooka i ufałem temu samemu zdaniu;) Anyheuw; czy to pomaga? Lub bardziej szczegółowy dokument opracowujący . Sami Google zalecają użycie innej przeglądarki niż Chrome bez piaskownicy. Próbowałeś opery ?
Runium
Łał. To bardzo pomaga. Korzystam z Iceweasel w porządku, ale chcę, aby moje zakładki zostały zsynchronizowane w chrome.
capdragon
1
Przypuszczam, że powinienem wtedy użyć znaków x.
capdragon
@Sukminder Wpisz swój komentarz jako odpowiedź, abym mógł Ci wyrazić uznanie.
capdragon
Bieżące dokumenty dotyczące piaskownicy: chromium.googlesource.com/chromium/src/+/master/docs/design/…
nobar

Odpowiedzi:

16

Nie byłem pewien, czy mógłbym zamieścić to jako odpowiedź, ponieważ nie odniosłem się konkretnie do „skąd pochodzi luka” - i po prostu odsyłam do własnych słów. Ale w każdym razie -

Mam nadzieję, że rzuciło to nieco światła na temat piaskownicy :

Jak już wspomniano, sami Google zalecają używanie innej przeglądarki niż Chrome bez piaskownicy. A potem oczywiście rozumiane, jakby ktoś mógł to naprawić, to byłoby preferowane;)

Runium
źródło
W porządku te referencje dostarczają mi wszystkich informacji, które muszę znać.
capdragon
2
nie umiem czytać komiksów, ponieważ denerwują mnie tak bardzo, prawda?
skuteczny
2
tl; dr: piaskownica usuwa niepotrzebne uprawnienia z procesów, które nie potrzebują ich w Chrome, ze względów bezpieczeństwa. Wyłączenie piaskownicy czyni komputer bardziej podatnym na exploity za pośrednictwem stron internetowych, więc Google go nie poleca
Steve
-1

W przypadku 64-bitowego systemu Linux pobierz plik zip ze strony http://commondatastorage.googleapis.com/chromium-browser-continuous/index.html

Wyodrębnij plik - otrzymasz folder called chromium-linux

Przenieś folder w dowolne miejsce - Przeniosę go do mojego /homefolderu. Przejdź do tego folderu i otwórz tam terminal (poprzednie dwa kroki mogą być odwrócone).

Uruchom te cztery polecenia osobno:

sudo mv chrome_sandbox chrome-sandbox
sudo chown root chrome-sandbox
sudo chmod 4755 chrome-sandbox
./chrome-wrapper

Kiedy to robię, jestem gotowy do wyjścia.

Lyle Fairfield
źródło