ঠিক আছে, আপনি যখন কোনও ওয়েবসাইট খোলেন, ওয়েবসাইট ব্রাউজারকে তার পক্ষে সমস্ত ধরণের কাজ করার জন্য নির্দেশিত করতে পারে। সবচেয়ে সহজ ক্ষেত্রে, এটি প্রদর্শিত হতে পাঠ্য এবং ছবি প্রেরণ করবে, তবে এটি ব্রাউজারটি চালিত ছোট প্রোগ্রামগুলিও পাঠাতে পারে (জাভাস্ক্রিপ্টে, যা ব্রাউজারগুলি অন্তর্নির্মিত রয়েছে, বা জাভা বা ফ্ল্যাশের মতো ব্রাউজার প্লাগইন ব্যবহার করে) ।
নীতিগতভাবে, কেবল কোনও ওয়েবসাইট পরিদর্শন করা থেকে সংক্রামিত হওয়া অসম্ভব:
ব্রাউজারগুলি আপনি যে ওয়েবসাইটগুলি পরিদর্শন করেছেন তাদের পক্ষ থেকে প্রোগ্রামগুলি সম্পাদন করবে, এই প্রোগ্রামগুলি সাবধানতার সাথে সীমাবদ্ধ রয়েছে যাতে তারা কেবল "নিরীহ" কাজ করতে পারে। জাভাস্ক্রিপ্ট থেকে আপনি উদাহরণস্বরূপ জাভাস্ক্রিপ্টের যে পৃষ্ঠাটি অন্তর্ভুক্ত করেছেন সেটি পরিবর্তন করতে পারেন (যেহেতু উভয়ই একই ওয়েবসাইট থেকে আসে, এতে কোনও ক্ষতি হতে পারে না), তবে জাভাস্ক্রিপ্ট কোনও আলাদা ওয়েবসাইট থেকে কোনও পৃষ্ঠা পরিবর্তন করতে পারে না (সুতরাং একটি sleazy সাইট আপনার পরিবর্তন করতে পারে না হোম ব্যাংকিং ডিসপ্লে), এবং এটি আপনার কম্পিউটারে সরাসরি ফাইল অ্যাক্সেস নাও করতে পারে।
বেশিরভাগ প্লাগইনগুলির জন্য অনুরূপ বিধিনিষেধ বিদ্যমান (অন্তত জাভা এবং ফ্ল্যাশের জন্য)। এটিকে সাধারণত স্যান্ডবক্সিং হিসাবে উল্লেখ করা হয় , কোডটি মূলত তার নিজস্ব একটি বাক্সে রয়েছে, এটি কম্পিউটারটি চালিত কম্পিউটার থেকে বিচ্ছিন্ন। বিশেষত, এটি আপনার হার্ড ডিস্কে ফাইলগুলি পড়তে বা আপনার কম্পিউটারে চলমান "নিয়মিত" প্রোগ্রামগুলির মতো আপনার জন্য প্রোগ্রাম শুরু করতে পারে না।
এখন কথাটি হ'ল: নীতিগতভাবে আপনি নিরাপদে থাকাকালীন বাস্তবে আপনি নাও থাকতে পারেন। কারণটি হ'ল সমস্ত প্রোগ্রামের মতো স্যান্ডবক্স সিস্টেমটিতেও বাগ রয়েছে। কখনও কখনও এই বাগগুলি কোনও প্রোগ্রামকে স্যান্ডবক্সকে "বিরতি" দেয় এবং ব্রাউজার বা প্লাগইনগুলিকে এমন কাজ করতে দেয় যাতে এটি করার অনুমতি দেওয়া উচিত নয়। এই কৌশলগুলি বেশ বিস্তৃত হতে পারে।
উদাহরণ:
- নিয়মিত প্রোগ্রামগুলির মতো, ব্রাউজার বা প্লাগইন প্রয়োগের ক্ষেত্রে বাফার ওভারফ্লো হতে পারে, যা কোনও ওয়েবসাইটকে ব্রাউজারে ইনপুট হিসাবে প্রেরণ করে বিশেষভাবে তৈরি করা কোড চালানোর অনুমতি দিতে পারে।
- সানবক্সের সাথে সান এর জাভা প্লাগইনের পুরানো সংস্করণগুলিতে একটি দুর্বলতা ছিল। স্যান্ডবক্স সমস্ত জাভা ফাংশনগুলিতে অ্যাক্সেসটিকে (এবং এখনও তা অস্বীকার করে) নিষ্ক্রিয় করে যা কোনও প্রোগ্রামের ক্ষতি করতে দেয়, যেমন স্থানীয় ফাইলগুলি পড়া বা মোছার মতো। যাইহোক, স্যান্ডবক্সটি জাভা অ্যাপলেট থেকে এই ফাংশনগুলিতে সঠিকভাবে অ্যাক্সেসকে ব্লক করেছিল, ব্রাউজারগুলি জাভাস্ক্রিপ্ট থেকে এই ফাংশনগুলিতে অপ্রত্যক্ষভাবে প্রবেশের অনুমতি দেয় ("প্রতিবিম্ব" নামে পরিচিত একটি কৌশল দ্বারা)। এই "ব্যাকডোর" বিকাশকারীরা যথেষ্ট পরিমাণে বিবেচনা করেননি এবং স্যান্ডবক্সটি ভেঙে স্যান্ডবক্স বিধিনিষেধকে বাইপাস করার অনুমতি দিয়েছিলেন। বিশদ জানতে https://klikki.fi/adv/javaplugin.html দেখুন ।
দুর্ভাগ্যক্রমে, জাভা স্ক্রিপ্ট, জাভা এবং ফ্ল্যাশের স্যান্ডবক্সগুলিতে বেশ কয়েকটি দুর্বলতা রয়েছে, কেবল কয়েকটি নাম লিখতে। এটি এখনও দূষিত হ্যাকার যারা এই দুর্বলতাগুলি তাদের শোষণ করার জন্য সনাক্ত করে এবং ভাল হ্যাকার এবং বিকাশকারী যারা তাদের সনাক্ত করে এবং ঠিক করেছে এর মধ্যে এখনও এক ধরণের রেস রয়েছে সাধারণত, এগুলি দ্রুত স্থির করা হয় তবে কখনও কখনও দুর্বলতার উইন্ডো থাকে।
BTW: এই অ্যাপলেট: স্যান্ডবক্স কারণ কিছু জাভা অ্যাপলেট পপ আপ লঞ্চ একটি "আপনি এই অ্যাপলেট বিশ্বাস করেন" সতর্কবাণী জিজ্ঞাসা তাদের স্যান্ডবক্স বাইরে যাক এবং আপনার কম্পিউটারে তাদের অ্যাক্সেস দিতে আপনি। এটি কখনও কখনও প্রয়োজনীয় হয় তবে এটি কেবলমাত্র ভাল কারণেই দেওয়া উচিত।
দ্রষ্টব্য: কারণ জন্য ActiveX (অন্তত প্রথম সংস্করণ এ) যাতে ভয়ঙ্করভাবে অনিরাপদ ছিল জন্য ActiveX নি না একটি স্যান্ডবক্স ব্যবহার করুন। ওয়েব পৃষ্ঠার যে কোনও অ্যাক্টিভএক্স কোডটিতে আপনার সিস্টেমে সম্পূর্ণ অ্যাক্সেস ছিল। ন্যায়সঙ্গতভাবে, এটি পরবর্তী সংস্করণগুলিতে সংশোধিত হয়েছিল (আংশিক)।