Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 612
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 612
    Points : 120 435
    Points
    120 435

    Par défaut Windows 10 19H1 va embarquer Windows Sandbox, une machine virtuelle légère

    Windows 10 : InPrivate Desktop va permettre aux administrateurs de lancer un sandbox temporaire,
    afin d'y lancer des applications potentiellement dangereuses

    Microsoft est en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». Celle-ci pourrait être exclusive aux versions Entreprise de Windows 10 et va permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

    On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

    « InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », peut-on lire sur le descriptif ci-dessous.

    Nom : inprivate.png
Affichages : 8403
Taille : 47,5 Ko

    En dehors d'une description de base, Microsoft a également répertorié les conditions préalables à l'exécution de la fonctionnalité, indiquant qu'elle est destinée à Windows 10 Enterprise à partir de la version 17718. La fonctionnalité nécessitera également au moins 4 Go de RAM, au moins 5 Go d'espace disque libre et au moins deux cœurs de processeur.

    Cette nouvelle fonctionnalité pourrait recevoir le nom de code « Madrid », selon les informations présentes dans le document. Windows Defender Advanced Thread Protection était connu sous le nom de code « Seville », tandis que Windows Defender Application Guard avait de son côté eu droit au nom de code « Barcelona. »

    InPrivate Desktop semble similaire à ce que propose Windows Defender Application Guard (WDAG). WDAG isole les malware potentiels et autres exploits téléchargés depuis le navigateur afin d’isoler et de contenir la menace. WDAG utilise des processus de sécurité basés sur la virtualisation, en isolant le code potentiellement malveillant au sein d’un container afin d’éviter la propagation de celui-ci sur le réseau d’entreprise.

    Microsoft devrait donc introduire cette fonctionnalité dans Windows 10 Enterprise, probablement Windows 10 19H1 dont la sortie est prévue pour l’année prochaine au printemps. Actuellement, en dehors de la petite note issue du Feedback Hub de Microsoft Insider, il n'y a pas de détails sur la fonctionnalité. Microsoft a déjà lancé la première build de Windows 10 19H1 dans le cadre de Skip Ahead Insiders il y a quelques semaines.

    Source : BC

    Et vous ?

    Que pensez-vous d'InPrivate Desktop ?

    Voir aussi :

    Windows 10 Redstone 5 : la build 17730 est disponible avec des améliorations de l'expérience utilisateur pour les smartphones Android et iOS
    Windows 10 : Microsoft présente de nouvelles builds dopées au machine learning pour éviter les redémarrages inopportuns après des mises à jour
    Un développeur tiers publie LibreOffice pour Windows 10 sur le Microsoft Store, The Document Foundation s'en dédouane et la firme de Redmond l'éjecte
    Microsoft annonce la prise en charge des secondes intercalaires par Windows 10 Redstone 5 et Windows Server 2019
    La première mise à jour de l'appli Notepad depuis de nombreuses années, dans la build 17713 de Windows 10 Redstone 5
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 190
    Points : 25 111
    Points
    25 111

    Par défaut

    Dommage que ce ne soit réservé qu'aux versions entreprise.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  3. #3
    Futur Membre du Club
    Homme Profil pro
    programmation
    Inscrit en
    décembre 2015
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : Centrafrique

    Informations professionnelles :
    Activité : programmation
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2015
    Messages : 4
    Points : 9
    Points
    9

    Par défaut Pourquoi Microsoft n'a pas mis sur toutes versions de Windows que ce soit professionnel entreprise?

    Citation Envoyé par chrtophe Voir le message
    Dommage que ce ne soit réservé qu'aux versions entreprise.

  4. #4
    Membre averti
    Profil pro
    Inscrit en
    novembre 2005
    Messages
    259
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine et Marne (Île de France)

    Informations forums :
    Inscription : novembre 2005
    Messages : 259
    Points : 342
    Points
    342

    Par défaut

    C 'est une bonne idée , mais il est dommage de la réservé à la version enterprise

  5. #5
    Membre régulier
    Inscrit en
    novembre 2006
    Messages
    99
    Détails du profil
    Informations personnelles :
    Âge : 48

    Informations forums :
    Inscription : novembre 2006
    Messages : 99
    Points : 115
    Points
    115

    Par défaut

    Abonnement mensuel aussi prévu.
    Pour ça autant installer Sandboxie, c'est pareil et gratuit.
    Voir même installer directement une machine virtuelle.
    fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables.
    Aussi je vois mal un administrateur ayant un minimum de bon sens, tester un logiciel non fiable sur une machine de production couplée à ses autres machines ...
    A moins qu'ils songent sandboxer windows lui-même parce que niveau fiabilité, fuites, mouchards.
    Windows 7 / Debian 8 jessie / Kali 2 / Nas Synology ds214se / Arduino Mega 2560 / Raspberry Pi 3

  6. #6
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 190
    Points : 25 111
    Points
    25 111

    Par défaut

    Pour ça autant installer Sandboxie, c'est pareil et gratuit.
    Vu que non fourni en version non pro,, je suis d'accord.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 612
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 612
    Points : 120 435
    Points
    120 435

    Par défaut Windows 10 19H1 va embarquer Windows Sandbox, une machine virtuelle légère

    Windows 10 19H1 va embarquer Windows Sandbox, une machine virtuelle légère
    permettant aux utilisateurs d'exécuter des logiciels potentiellement suspects de manière isolée

    En août, nous vous rapportions que Microsoft était en train de développer une nouvelle fonctionnalité « Sandbox jetable » appelée « InPrivate Desktop ». D’après la description de la fuite, nous avions pensé que cette fonction pourrait être exclusive aux versions Entreprise de Windows 10 et allait permettre aux administrateurs de lancer des exécutables non fiables dans un sandbox sécurisé sans crainte d'apporter des modifications au système d'exploitation ou aux fichiers du système.

    On peut comparer ce mode à une machine virtuelle sur laquelle votre application sera exécutée, préservant ainsi la santé de votre système d’exploitation en cas de risque potentiel. Ainsi, si l’application contient un malware, ce dernier ne se répandrait pas au système mais resterait localisé dans la machine virtuelle temporaire. Il serait totalement détruit une fois la session de l’application fermée.

    « InPrivate Desktop (Preview) fournit aux administrateurs un moyen de lancer un sandbox jetable pour une exécution sécurisée et ponctuelle de logiciels non fiables. Il s’agit d’une VM intégrée à la boîte qui est recyclée lorsque vous fermez l’application », pouvait-on lire sur le descriptif.

    Windows Sandbox

    Microsoft a dévoilé une fonctionnalité prévue pour Windows 10 19H1 (version qui sera déployée au début de l'année prochaine) qui a été baptisée Windows Sandbox. Cette fonctionnalité, qui fera partie des éditions Windows 10 Pro et Enterprise, crée « un environnement de bureau temporaire et isolé » où les utilisateurs peuvent exécuter des logiciels potentiellement suspects, ont annoncé des responsables dans un blog le 18 décembre.

    Nom : sandbox.png
Affichages : 3211
Taille : 209,0 Ko

    Voici les prérequis pour se servir de cette fonctionnalité
    • Windows 10 Pro ou Enterprise build 18305 ou ultérieure
    • Architecture AMD64
    • Fonctions de virtualisation activées dans le BIOS
    • Au moins 4 Go de RAM (8 Go recommandés)
    • Au moins 1 Go d'espace disque disponible (SSD recommandé)
    • Au moins 2 cœurs de processeur (4 cœurs avec hyperthreading recommandés)

    L’équipe décrit Windows Sandbox comme un nouvel environnement de bureau léger conçu pour exécuter en toute sécurité des applications isolées.

    Citation Envoyé par Microsoft
    Combien de fois avez-vous téléchargé un fichier exécutable sans avoir peur de l'exécuter? Avez-vous déjà été dans une situation qui nécessitait une nouvelle installation de Windows, mais vous ne vouliez pas configurer une machine virtuelle ?

    Chez Microsoft, nous rencontrons régulièrement ces situations, nous avons donc développé Windows Sandbox: un environnement de bureau temporaire et isolé, dans lequel vous pouvez exécuter des logiciels non fiables sans crainte de conséquences durables pour votre PC. Tout logiciel installé dans le Windows Sandbox reste uniquement dans le Sandbox et ne peut affecter votre hôte. Une fois que Windows Sandbox est fermé, tous les logiciels avec tous leurs fichiers et leur état sont définitivement supprimés.
    Windows Sandbox a les propriétés suivantes:
    • Il fait partie de Windows : tout ce qui est requis pour cette fonctionnalité est fourni avec Windows 10 Pro et Enterprise. Pas besoin de télécharger un disque dur virtuel !
    • En parfait état : chaque fois que Windows Sandbox s'exécute, il est aussi propre qu'une nouvelle installation de Windows.
    • Jetable : rien ne persiste sur l'appareil; tout est jeté après la fermeture de l'application
    • Sécurisé : utilise la virtualisation matérielle pour l’isolation du noyau, laquelle repose sur l’hyperviseur de Microsoft pour exécuter un noyau distinct qui isole le bac à sable Windows de l’hôte.
    • Efficace : utilise le planificateur de noyau intégré, la gestion intelligente de la mémoire et le processeur graphique virtuel

    Sous le capot de Windows Sandbox

    Windows Sandbox s'appuie sur les technologies utilisées dans les conteneurs Windows. Les conteneurs Windows ont été conçus pour s'exécuter dans le cloud. Microsoft a utilisé cette technologie, à laquelle l’entreprise a ajouté une intégration avec Windows 10 et des fonctionnalités qui la rendent plus approprié pour fonctionner sur des périphériques et des ordinateurs portables sans nécessiter toute la puissance de Windows Server.

    Parmi les principales améliorations apportées, figurent :

    La génération dynamique d’image

    À la base, Windows Sandbox est une machine virtuelle légère, de sorte qu’elle a besoin d’une image de système d’exploitation. L'une des améliorations clés apportées à Windows Sandbox est la possibilité d'utiliser une copie de Windows 10 installée sur votre ordinateur, au lieu de télécharger une nouvelle image VHD comme vous le feriez avec une machine virtuelle ordinaire.

    Microsoft indique vouloir toujours présenter un environnement propre, mais le problème est que certains fichiers du système d'exploitation peuvent changer. Aussi, la solution choisie par l’éditeur consiste à construire ce qu’il appelle une « image de base dynamique »: une image de système d’exploitation contenant des copies nettes de fichiers pouvant être modifiés, mais des liens vers des fichiers ne pouvant pas être modifiés et figurant dans l’image Windows déjà présente sur l’hôte. La majorité des fichiers sont des liens (fichiers immuables) ce qui est la raison de la petite taille (~ 100 Mo) d’un système d’exploitation complet. Microsoft appelle cette instance « image de base » pour Windows Sandbox, un nom qui lui vient directement du jargon de Windows Container.

    Lorsque Windows Sandbox n'est pas installé, l’éditeur conserve l'image de base dynamique dans un package compressé de 25 Mo seulement. Une fois installé, le package de base dynamique occupe environ 100 Mo d’espace disque.

    Nom : sandbox 1.png
Affichages : 2889
Taille : 30,7 Ko

    Gestion intelligente de la mémoire

    La gestion de la mémoire est un autre domaine dans lequel Microsoft a intégré le noyau Windows. L’hyperviseur de Microsoft permet de diviser une seule machine physique en plusieurs machines virtuelles partageant le même matériel physique. Bien que cette approche fonctionne bien pour les charges de travail de serveur traditionnelles, elle n'est pas aussi bien adaptée à l'exécution de périphériques avec des ressources plus limitées. En effet, Microsoft a conçu Windows Sandbox de manière à ce que l'hôte puisse récupérer la mémoire du bac à sable si nécessaire.

    De plus, comme Windows Sandbox exécute fondamentalement la même image de système d'exploitation que l'hôte, Microsoft autorise également Windows Sandbox à utiliser les mêmes pages de mémoire physique que l'hôte pour les fichiers binaires du système d'exploitation via une technologie appelée « direct map ». En d'autres termes, les mêmes pages exécutables de ntdll sont mappées dans le bac à sable comme celles de l'hôte. L’éditeur assure qu’il veille à ce que cela soit fait de manière sécurisée et qu'aucun secret ne soit partagé.

    Nom : memoire.png
Affichages : 2885
Taille : 21,6 Ko

    Planificateur intégré de noyau

    Avec les machines virtuelles ordinaires, l’hyperviseur de Microsoft contrôle la planification des processeurs virtuels exécutés sur les machines virtuels. Cependant, pour Windows Sandbox, Microsoft se sert d’une nouvelle technologie appelée « planificateur intégré » qui permet à l'hôte de décider du moment où le Sandbox s'exécute.

    Pour Windows Sandbox, l’éditeur utilise une stratégie de planification unique qui permet aux processeurs virtuels du sandbox d'être planifiés de la même manière que les threads seraient planifiés pour un processus. Les tâches hautement prioritaires sur l'hôte peuvent anticiper un travail moins important dans le Sandbox. L'avantage d'utiliser le planificateur intégré est que l'hôte gère Windows Sandbox comme un processus plutôt que comme une machine virtuelle, ce qui donne un hôte beaucoup plus réactif, similaire au KVM Linux.

    L’objectif ici est de traiter la Sandbox comme une application mais avec les garanties de sécurité d’une machine virtuelle.

    Snapshot et clone

    Comme indiqué ci-dessus, Windows Sandbox utilise l'hyperviseur de Microsoft. Microsoft utilise essentiellement une autre copie de Windows qui doit être démarrée, ce qui peut prendre un certain temps. Ainsi, plutôt que de payer le coût total du démarrage du système d'exploitation sandbox à chaque démarrage de Windows Sandbox, Microsoft se sert de deux autres technologies; Snapshot et Clone.

    Snapshot permet d’amorcer une seule fois le démarrage de l’environnement sandbox et de conserver l’état de la mémoire, du processeur et du périphérique sur le disque. Ensuite, l’éditeur peut restaurer l’environnement sandbox à partir du disque et le mettre en mémoire plutôt que de le démarrer, lorsque l’utilisateur a besoin d’une nouvelle instance de Windows Sandbox. Cela améliore considérablement le temps de démarrage de Windows Sandbox.

    Source ! Microsoft

    Voir aussi :

    Windows 10 October 2018 : Microsoft dit avoir corrigé tous les bogues et les problèmes signalés et propose une nouvelle mise à jour plus stable
    Red Hat Enterprise Linux débarque sur Windows 10 via WLinux Enterprise, une distribution payante pour le sous-système Windows pour Linux
    Windows 10 : Comment empêcher l'OS de partager des données de votre historique d'activités ? Microsoft donne plus d'informations
    Microsoft confirme que les utilisateurs de Windows 10 risque de tester une mise à jour instable lorsqu'ils font la mise à jour manuellement
    Windows 10 transmet à Microsoft l'historique d'activités de votre PC une fois connecté, même si vous lui dites de ne pas le faire
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2012
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2012
    Messages : 27
    Points : 107
    Points
    107

    Par défaut

    Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)

    Ok, c'est clairement plus complexe qu'un cryptoware. Je m'attends donc à ce que sa protège contre une grande gamme de menace "standard".

  9. #9
    Expert éminent sénior

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2003
    Messages
    5 678
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte technique

    Informations forums :
    Inscription : juin 2003
    Messages : 5 678
    Points : 10 204
    Points
    10 204
    Billets dans le blog
    3

    Par défaut

    Citation Envoyé par Capitaine_aizen Voir le message
    Est-ce "déconfinable" via Spectre/Meltdown ? (Vrai question)
    Il me semble que Spectre/Meltdown ne permettent "que" de sniffer la mémoire, pas de la modifier. Donc on peut s'en servir pour voler des infos sensibles mais pas corrompre directement la machine.

  10. #10
    Membre confirmé
    Inscrit en
    juin 2010
    Messages
    596
    Détails du profil
    Informations forums :
    Inscription : juin 2010
    Messages : 596
    Points : 595
    Points
    595

    Par défaut

    Prochaine étape mettre l'ensemble de win32 en boite

  11. #11
    Membre émérite
    Homme Profil pro
    Développeur tout-terrain
    Inscrit en
    juin 2004
    Messages
    508
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur tout-terrain
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : juin 2004
    Messages : 508
    Points : 2 264
    Points
    2 264

    Par défaut

    Citation Envoyé par redcurve Voir le message
    Prochaine étape mettre l'ensemble de win32 en boite
    Sur, comme c'est la seule API de Windows à peu prêt stable vaut mieux que M$ s'en débarrasse rapidement

  12. #12
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 190
    Points : 25 111
    Points
    25 111

    Par défaut

    Donc ça passe par la virtualisation. C'est plus lourd que des systèmes comme Sandboxie, mais ça isoler plus (du moins en théorie).

    Un autre principe de sandboxing est de faire en sorte qu'une application ne puisse pas lancer d'API système que le code source n'utilise pas. Il existe sous Linux des bibliothèque faisant cela, donc probablement pour Windows aussi.

    Apple impose l'usage de sandboxing sur Applestore depuis 2012. Cela est présent également sous Mac OS X (mais non obligatoire je pense). Mac OS X étant une base BSD, je pense qu'ils utilisent les bsd-jails.

    Le principe étant une collaboration entre l'appli sandboxée et l'OS, toute comme la paravirtualisation, ou la VM sait qu'elle est virtualisée et collabore avec l'hôte à des fins d'optimisation.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  13. #13
    Expert éminent sénior

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2003
    Messages
    5 678
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte technique

    Informations forums :
    Inscription : juin 2003
    Messages : 5 678
    Points : 10 204
    Points
    10 204
    Billets dans le blog
    3

    Par défaut

    Citation Envoyé par chrtophe Voir le message
    Donc ça passe par la virtualisation. C'est plus lourd que des systèmes comme Sandboxie, mais ça isoler plus (du moins en théorie).
    Effectivement l'article du blog MS explique que c'est bien un deuxième kernel qui est isolé du kernel hôte. Même chose avec la couche driver / graphique. Donc c'est beaucoup plus lourd qu'une isolation via namespaces (à la Docker). Et j'ai trouvé cet article de MS qui explique que les 2 modes sont supportés par leur techno de conteneurs, et que c'est le mode VM qui est utilisé pour le bac à sable :
    https://docs.microsoft.com/fr-fr/vir...tainers/about/

    Les conteneurs Windows incluent deux types de conteneurs différents, ou runtimes.

    Conteneurs Windows Server: Ils assurent l’isolation des applications via une technologie d’isolation des processus et des espaces de noms. Un conteneur Windows Server partage un noyau avec l’hôte de conteneur et tous les conteneurs exécutés sur l’hôte. Ces conteneurs ne créent pas de frontière de sécurité contre le code hostile et ne doivent pas être utilisés pour isoler du code non fiable. En raison de l’espace de noyau partagé, ces conteneurs requièrent la même version et configuration de noyau.

    Isolation Hyper-V: Développe l’isolation fournie par les conteneurs WindowsServer en exécutant chaque conteneur dans une machine virtuelle hautement optimisée. Dans cette configuration, le noyau de l’hôte de conteneur n’est pas partagé avec d’autres conteneurs exécutés sur l’hôte. Ces conteneurs sont conçus pour un hébergement mutualisé hostile avec les mêmes garanties de sécurité qu’une machine virtuelle. Dans la mesure où ces conteneurs ne partagent pas le noyau avec l’hôte et les autres conteneurs exécutés sur l’hôte, ils peuvent exécuter des noyaux ayant des versions et des configurations différentes (dans les versions prises en charge)
    Citation Envoyé par chrtophe Voir le message
    Un autre principe de sandboxing est de faire en sorte qu'une application ne puisse pas lancer d'API système que le code source n'utilise pas. Il existe sous Linux des bibliothèque faisant cela
    Tu as des infos plus précises là dessus ? car je vois pas mal comment ça peut être mis en place dans le cas d'application natives. Pour des applis mobiles à la Android ça a du sens : on utilise un manifest pour déclarer les groupes d'APIs dont on a besoin (les applis Windows UWP ont le même principe), mais pour des appels système on se base en général sur une gestion de privilèges (sudo, UAC...).

  14. #14
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 190
    Points : 25 111
    Points
    25 111

    Par défaut

    Il y a seccomp sous Linux, utilisé par Docker et pour sandboxer chrome il me semble :
    https://sysdig.com/blog/selinux-secc...al-discussion/
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  15. #15
    Expert éminent sénior

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2003
    Messages
    5 678
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte technique

    Informations forums :
    Inscription : juin 2003
    Messages : 5 678
    Points : 10 204
    Points
    10 204
    Billets dans le blog
    3

    Par défaut

    Thanks

Discussions similaires

  1. Permettre aux visiteurs de créer une page internet
    Par toniosss dans le forum Langage
    Réponses: 4
    Dernier message: 30/09/2007, 17h43
  2. Réponses: 1
    Dernier message: 03/09/2007, 15h09
  3. Réponses: 5
    Dernier message: 28/05/2007, 11h08
  4. Réponses: 6
    Dernier message: 25/04/2007, 20h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo