كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين

تم طرحه في عام 2007 وتم إضافته عام 2012 ، حيث أن وضع الحماية هو أداة تستخدمها أنظمة MacOS للحد من الضرر الذي يمكن أن يحدثه تطبيق ما. تقول Apple: “على الرغم من أن تطبيق Sandbox لا يمنع الهجمات ضد تطبيقك ، إلا أنه يقلل من الضرر الذي يمكن أن يتسبب به أحدها بنجاح. يحفِّل sandboxing تطبيق macOS المستخدمين من خلال الحد من مقدار المشكلة التي يمكن أن يسببها التطبيق الضار.

كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين - Mac

ما هو تطبيق Sandboxing على MacOS؟

يحصل كل تطبيق على مساحته الخاصة من أجل اللعب داخلها: “sandbox”. إذا أراد التطبيق الوصول إلى خارج صندوق الرمل ، فيجب عليه أن يطلب من نظام التشغيل الحصول على إذن. استنادًا إلى إعدادات وضع الحماية ، سيقوم نظام التشغيل إما برفض الطلب أو يوافق عليه مع توفير أقل قدر ممكن من المعلومات المحددة لإكمال الطلب.

كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين - Mac

فكر في سيارة. السائق محمي بميزات أمان متعددة مثل فواصل مانعة للإنغلاق ، وأكياس هوائية ، ومناطق تجعد ، والمزيد. في عام 2007 ، وقت تقديم تطبيق Sandboxing ، لم تكن هناك أنظمة حاسوب مماثلة. كما تم سأله في العرض التقديمي ، أين كانت أحزمة الأمان لأجهزة الكمبيوتر؟ يعمل Sandboxing على حماية المستخدمين مثل السيارات التي تحمي برامج التشغيل الخاصة بها: الفشل في الاجتماع مع أنظمة تقليل الضرر. سواء كان ذلك بسبب نشاط ضار أو أخطاء في التشفير ، فإن الضرر ينخفض.

نظرًا لأن وضع الحماية يحد من صلاحيات ما يمكن للتطبيقات فعله ، فقد يؤدي ذلك إلى تقييد حرية المطورين. تعمل تطبيقات Sandbox ببطء أكبر وتستغرق وقتًا أطول للتطوير. بفضل إمكانات Mac الهائلة ، يمكن أن يكون لحدود sandbox تأثير كبير على توافق التطبيقات المختلفة. ونتيجة لذلك ، غالبًا ما يتم توجيه المستخدمين الواعدين إلى تشغيل التطبيقات من أجل أن تعمل خارج sandbox ، سواء للمشكلات المتعلقة بالأداء أو الميزات.

كيف يعمل تطبيق Sandboxing؟

يعتمد وضع الحماية على مبدأ الامتيازات الأقل. باختصار ، يمكن للأنظمة أن تفعل ما تحتاج إلى القيام به ولكن ليس أكثر. من خلال الحد من كل جزء من النظام لإكمال هدفه المعلن فقط ، فإنك تقلل من فرصة تعرض تطبيقك للاختراق. على سبيل المثال ، لا يوجد سبب لتوفر تطبيق المصباح اليدوي إمكانية الوصول إلى قائمة جهات الاتصال الخاصة بك.

يمكن للتطبيقات الوصول إلى خارج منطقة الحماية الخاصة بها ولكن مع الحصول على إذن نظام التشغيل فقط. خذ مربع الحوار “حفظ وفتح” في macOS. لا يمكن للتطبيق ، داخل sandbox الخاص به ، الوصول مباشرةً إلى موارد نظام الملفات على محرك الأقراص الثابت الخاص بك. لا يمكن ، على سبيل المثال ، رسم لوحة مفتوحة في “~ / المستندات”. بدلاً من ذلك ، يجب أن يطلب التطبيق واجهة برمجة تطبيقات Powerbox مع فئتي NSOpenPanel و NSSavePanel للوصول إلى اللوحة.

كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين - Mac

لا يمكن للتطبيق رؤية ما يحدث داخل Powerbox مباشرةً. سيكون فقط الملف المفتوح أو المحفوظ متاحًا للتطبيق. وبهذه الطريقة يمكن للتطبيقات أداء وظائف حرجة دون التعرض لمخاطر غير ضرورية.

يتم تمكين هذه الوظيفة بواسطة استحقاق (تحديدًا com.apple.security.files.user-selected.read-write). يضع مطورو التطبيقات استحقاقات تحدد ما يفعله التطبيق. استناداً إلى الاستحقاقات المعلنة ، يسمح نظام التشغيل للتطبيق بمستوى محدود من الوظائف بشكل مناسب.

تكمن هذه العملية الفكرية في نموذج وآلية وضع الحماية في التطبيق بالكامل: يجب أن تعلن التطبيقات عن نيتها وأن تطلب إذنًا من رئيس على مستوى نظام التشغيل لإنجاز أي شيء خطير.

تطبيقات Sandboxed مقابل تطبيقات Non-Sandboxed

اعتبارًا من 1 حزيران (يونيو) 2012 ، يجب أن تكون جميع تطبيقات الجهات الخارجية التي يتم توزيعها من خلال متجر تطبيقات Mac في وضع الحماية. في حين أن وضع الحماية يتيح نطاقًا كبيرًا من وظائف التطبيق ، فستجد أن تطبيقات Mac App Store غالبًا ما تكون محدودة أكثر من مكوناتها غير المحمية. حتى أن بعض المطورين يحتفظون بنسختين: تطبيق كامل المواصفات للتنزيل المباشر ونسخة مثبّتة لـ Mac App Store. وبفضل تعقيد تطوير وضع الحماية بشكل أكبر ، فإن إضافة وظائف جديدة إلى تطبيق يعتبر أكثر صعوبة – إذا كان هذه الوظيفة مسموحًا بها حتى من قبل نظام التشغيل.

بينما يمكن أن تحصل تطبيقات sandboxed على فائدة من توزيع Mac App Store ، يمكنك تخمين القيمة التي نعتقد أنها جيدة. يمكن أيضًا توسيع وضع الحماية باستخدام أذونات الأمان. على الرغم من أن أحد التطبيقات لا يمكنه تشغيل أذونات إمكانية الوصول لنفسه ، إلا أنه يمكنه مطالبة المستخدم بذلك.

كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين - Mac

لمعرفة أي من تطبيقاتك هي sandboxed ، افتح Activity Monitor ، وانقر بزر الماوس الأيمن على عناوين الأعمدة لإضافة “Sandbox” إلى النافذة.

كيف تعمل تطبيقات Sandboxing في نظام macOS على حماية المستخدمين - Mac

هناك بعض التطبيقات التي لا يمكن أن توجد أبداً في وضع الحماية. في الواقع ، يتم منع مجموعة متنوعة من حالات الاستخدام الثمينة عن طريق وضع الحماية. يمنع وضع الحماية الاتصال بين التطبيقات أو المراقبة أو التعديل ، مما يحد بشكل كبير من كيفية تفاعل التطبيقات. تحظر تمامًا الاختصارات على مستوى النظام مثل TextExpander ، نظرًا لأن هذا المستوى من الوظائف يمكن أن يسمح به sandbox.

الخلاصة

مثلما كان متوقع، تطبيقات macOS في وضع sandbox لم تكن جيدة. حدّد نقاط البيع الفريدة لتطبيقات Mac ، مثل السرعة والوظائف المحسّنة. تكون التطبيقات التي تعمل خارج منطقة الحماية دائمًا أكثر قدرة وسرعةً. من وجهة نظر المستخدم القوي ، فإن التطبيقات الأكثر استخدامًا لا يتم وضع الحماية لها. تطبيقات مثل TextExpander ، SnagIt ، و TotalFinder كلها حاسمة في عملي اليومي. لتجنب مشاكل واسعة مماثلة ، تحتاج أنظمة الأمن المستقبلية إلى المرونة والقوة متوازنة مع الشفافية.

المصدر
زر الذهاب إلى الأعلى