Sandboxing là gì?

Sandboxing là một chiến lược quản lý phần mềm để cô lập các ứng dụng khỏi các tài nguyên hệ thống quan trọng và các chương trình khác. Nó cung cấp một lớp bảo mật bổ sung để ngăn phần mềm độc hại hoặc các ứng dụng có hại ảnh hưởng tiêu cực đến hệ thống của bạn.

Không có sandboxing, ứng dụng có thể có quyền truy cập không hạn chế vào tất cả tài nguyên hệ thống (system resource) và dữ liệu người dùng trên máy tính. Mặt khác ứng dụng chỉ có thể truy cập tài nguyên trong "sandbox" của chính ứng dụng đó. sandbox của ứng dụng là một vùng giới hạn của không gian lưu trữ và bộ nhớ chứa tài nguyên duy nhất mà chương trình yêu cầu. Nếu một chương trình cần truy cập tài nguyên hoặc file bên ngoài sandbox, quyền đó phải được hệ thống cấp một cách rõ ràng.

Ví dụ: khi một ứng dụng được cài đặt trong OS X, một thư mục cụ thể sẽ được tạo cho sandbox của ứng dụng đó. Ứng dụng được cấp quyền truy cập đọc và ghi không giới hạn vào thư mục sandbox nhưng không được phép đọc hoặc ghi bất kỳ file nào khác trên thiết bị lưu trữ của máy tính trừ khi được hệ thống cho phép.

Mặc dù sandboxing cung cấp bảo mật bổ sung cho người dùng, nhưng nó cũng có thể giới hạn khả năng của ứng dụng. Ví dụ: một ứng dụng có thể không cho phép nhập dòng lệnh vì các lệnh được chạy ở cấp hệ thống. Các tiện ích (utility) như chương trình sao lưu và trình quản lý phím tắt có thể không được cấp đủ quyền để hoạt động chính xác. Vì lý do này một số chương trình không thể được có sandbox.