Sandbox Comodo v4

[EboO]

Bonjour,

Je crée ce topic pour avoir vos avis sur la sandbox de comodo v4 : elle a pas mal buggé au début mais depuis la màj de cette semaine ça semble mieux. Toutefois il y a quelques points pénibles je trouve : quand on dl un fichier il se trouve dans un répertoire caché (vritual root) et pas au chemin indiqué. Ne peut-il être exécuté dans la sandbox tout en se trouvant ailleurs ? Cela dit j'en demande peut-être trop, je ne sais pas si c'est réaliste/réalisable.
En plus le répertoire où tous les fichiers atterissent (vritual root donc) est masqué par défaut, les novices ne vont donc jamais pouvoir utiliser les fichiers téléchargés ?

Avis donc à ceux qui l'utilisent, j'en attends peut-être trop ou je m'en sers mal.

[Cyborg]

Je ne connais pas le fonctionnement de Comodo v4 (j'suis toujours sur la v3 en français). Cependant, il y a quelque chose qui ne me parait pas naturel. Un Bac à sable, c'est un endroit où sont exécuter certains programmes. Par exemple, Firefox, ou d'autres.
Si tu dois télécharger un programme, il faut que ce soit via l'interface du Bac à sable que tu le remets dans tes documents. L'endroit où il est originalement placé n'a aucune importance.
Ensuite, si tu exécutes un programme de manière classique, qu'il soit situé dans tes documents ou dans un dossier caché "virtual root" n'y change rien. Pour que le Bac à sable puisse faire son boulot, il faut spécifiquement dire au Bac à sable d'éxécuter l'application. Mais normalement, à aucun moment tu n'accèdes de manière direct au contenu de ton Bac à sable.

J'sais pas si j'suis très clair...

[future]

Bonjour,

Je crée ce topic pour avoir vos avis sur la sandbox de comodo v4 : elle a pas mal buggé au début mais depuis la màj de cette semaine ça semble mieux. Toutefois il y a quelques points pénibles je trouve : quand on dl un fichier il se trouve dans un répertoire caché (vritual root) et pas au chemin indiqué. Ne peut-il être exécuté dans la sandbox tout en se trouvant ailleurs ? Cela dit j'en demande peut-être trop, je ne sais pas si c'est réaliste/réalisable.
En plus le répertoire où tous les fichiers atterissent (vritual root donc) est masqué par défaut, les novices ne vont donc jamais pouvoir utiliser les fichiers téléchargés ?

Avis donc à ceux qui l'utilisent, j'en attends peut-être trop ou je m'en sers mal.

Hello! Il faut savoir que Comodo est en perpétuel développement... à priori on pourrait se dire "super il évolue, donc!", sauf que le problème de Comodo est qu' il n'est jamais parfaitement Stable; et encore moins pour un utilisateur n'ayant pas 10 ans de pratique à son actif. La plupart des gens pardonnent à Comodo car il est gratuit; chacun se fera donc son opinion sur ce sujet.

Pour revenir à tes questions à propos de la sandbox je dirais que là aussi c'est comme le HIPS : efficace mais trop compliqué pour un novice. Effectivement, pourquoi ne pas avoir fait comme Kaspersky en plaçant dès le départ un dossier "Sandbox" sur le poste de travail et pourquoi cacher le dossier " Virtual Root" ?

J'ai lu sur le forum de Comodo que le parti-prix était de se dire qu'un utilisateur type "grand public" ne placera pas (par exemple) Firefox dans la sandbox; il n'a sans doute pas tort mais alors, à quoi ça sert de développer une sandbox qui ne servira à personne et/ou juste à faire mousser certains utilisateurs avertis (donc peu) ? Dans ce cas je préfère la Sandox de Avast qui te protège pendant la navigation (y compris les plugins installés) mais dans le mode par défaut lorsque tu télécharge un fichier il vient se placer à l'endroit que tu as décidé. Si tu as envie que la sandbox protège également le téléchargement alors tu décoche une case dans les options:

avast-sandbox.jpg

Bref, dans ce domaine le mieux du mieux (HIPS + virtualisation de l'environnement) reste sans aucun doute DefenseWall que tu installe et qui te protège réellement de toute(s) forme d'intrusion(s) sans te prendre le choux; et comme le dit si bien Sacles : sans non plus te poser 12 000 questions à la seconde.

Et puis entre-nous, je préfère payer pour un développeur comme celui de DefenseWall (tout comme Avast, Trend Micro ou Avira) qui s'acharne à te fournir un soft stable et réellement efficace plutôt que d'attendre la soit-disant version ultime d'une suite de sécurité qui au final ne s'avère être qu'un gadget pour les pros de la sécurité : prudents de nature et/ou avertis des risques d'infection(s).

Dernière chose, même si de prime abord Comodo peu parfois étonner de part ses qualités de détection/parefeu je dirais que par respect je n'installerais pas sur le Pc d' ami(es) ou d'un des membres de ma famille de peur de lui faire un cadeau empoisonné; à contrario des logiciels pré-cités clairement plus ludiques et fiables.

[Cyborg]

A vous entendre, j'ai peur que vous vous serviez n'importe comment de votre Bac à sable!!!

[future]

A vous entendre, j'ai peur que vous vous serviez n'importe comment de votre Bac à sable!!!

IL n'y à justement pas 36 manières d'utiliser une Sandbox... Pour ma part c'est bien ça que j'ai voulus dire.

[Cyborg]

Oups, je croyais avoir marqué que je détaillerai mon propos un peu plus tard. Sorry, j'voulais pas laisser le ton "méchant" de mon précédent poste, sans détails.

J'entends par là que, à mon avis, tu n'as aucune raison d'aller regarder directement le contenu de ton Bac à Sable.

Exemple 1 : Firefox
Tu installes Firefox sur ta machine. Tu demandes, au démarrage, à l'exécuter dans ton Bac à Sable. Le Bac à Sable copie dans un endroit caché du disque tout ce dont il a besoin pour fonctionner (donc en copiant tous les fichiers modifiés par le démarrage et l'utilisation de Firefox.
-> L'endroit où sont stockés les fichiers, on s'en balance.
-> Si tu choppes une connerie (swf ou pdf trafiqué), ça pourrit le Bac à Sable mais l'appli pense avoir pourri le système, au lieu d'avoir pourri le Bac à Sable.
Si tu souhaites télécharger un fichier, cela se copie dans "Mes Documents\Téléchargements\" dans le Bac à Sable.
-> Là, c'est le boulot du Bac à sable de te proposer de recopier dans le dossier réel le fichier ainsi téléchargé.

Exemple 2 : Install d'un logiciel à tester
Tu souhaites tester un logiciel. Donc tu le télécharges, comme précédemment. Tu n'es pas obligé de le télécharger en local (mais c'est mieux, car pas besoin de retélécharger si le logiciel te convient). Ensuite, tu exécutes à nouveau le programme, en lui disant de démarrer dans le Bac à Sable.
Plop, de nouveau, tout s'installe dans le Bac à Sable. Donc s'il y a des malware dedans, il s'y mettrons aussi. Si cela modifie la base de registre, cela se limite aussi au Bac à Sable.

Exemple 3 : Installer un logiciel directement à partir du Bac à sable / Utiliser un logiciel installé dans le Bac à Sable
Si tu ne souhaites pas utiliser l'appli à partir de "C:\...\Mes Documents\" mais directement à partir du Bac à Sable "Bac_à_Sable\C\...\Mes Documents", ben tu ouvres "Bac_à_Sable\C\...\Mes Documents", c'est à dire "Explorateur Windows exécuté dans le Bac à Sable", puis tu regardes dans "Mes Documents" et tu lances l'appli. Ainsi, elle sera directement exécutée dans le Bac à Sable.
De même, un programme installé dans le Bac à Sable, la façon la plus "naturelle" de l'utiliser est à nouveau d'utiliser un explorateur windows exécutée dans le Bac à Sable à partir duquel tu lances le raccourci du Bureau ou le .exe en fouillant dans les dossiers de Program Files.

Contre-exemple : exécution directe d'un programme installé dans le Bac à Sable.
Si tu exécutes directement le programme en fouillant dans le répertoire caché du Bac à Sable, il se lance sur le système, sans être contrôlé par le gestionnaire du Bac à Sable.
Et si tu exécutes le programme en fouillant dans le répertoire caché du Bac à Sable mais en lui demandant de s'exécuter dans le Bac à Sable, basiquement, il devrait copier l'arborescence complête dans le bac à sable, donc rien à voir avec l'install faite originellement dans le Bac à Sable.
Petit exemple : J'ai installé dans le Bac à Sable un machin.exe sur C: (Bac_à_Sable\C\machin.exe). Je vais chercher directement le fichier et l'exécuter dans le Bac à Sable, celui-ci se retrouvera dans Bac_à_Sable\C\[chemin_du_Bac_à_Sable_caché]\C\machin.exemachin.exe, qui finalement n'est pas le même que l'original, déjà placé dans le Bac à Sable pourtant.

En gros, en utilisant directement le contenu du Bac à Sable, soit tu vas utiliser un fichier "Hors Bac à Sable" alors que tu le croyais dedans, soit tu vas lui re-demander textuellement et ça va copier le fichier da manière bizarre et non intuitive.

C'est pour ça qu'à aucun moment, à mes yeux, tu ne dois accéder au contenu du Bac à Sable directement. Les liaisons avec ton système doivent être forcément gérée par le logiciel de virtualisation, et en aucun cas manuellement.

Je ne connais pas le Bac à Sable de Comodo donc je ne sais pas si le logiciel est intuitif et complet. Mais cela me choque que vous trouviez que le dossier regroupant les fichiers soient cachés puisse être un inconvénient. C'est plutôt le contraire, car cela empêche les utilisateurs non experts de faire des conneries.

[future]

Oups, je croyais avoir marqué que je détaillerai mon propos un peu plus tard. Sorry, j'voulais pas laisser le ton "méchant" de mon précédent poste, sans détails.

Pas de soucis je t'avais juste répondu histoire de te dire que je me prend pas la tête

J'entends par là que, à mon avis, tu n'as aucune raison d'aller regarder directement le contenu de ton Bac à Sable.

On ne veut pas regarder le contenu de la Sandbox mais juste pouvoir accèder aux fichiers téléchargés... Ce qui n'est pas possible (pour le moment) avec Comodo sans être obligé de passer par un dossier caché.

> à propos de tes exemples : Merci c'est très utile à lire (même si tu n'as pas du me lire en entier car je sais justement tout ça ^^).

Contre-exemple : exécution directe d'un programme installé dans le Bac à Sable.
Si tu exécutes directement le programme en fouillant dans le répertoire caché du Bac à Sable, il se lance sur le système, sans être contrôlé par le gestionnaire du Bac à Sable.
Et si tu exécutes le programme en fouillant dans le répertoire caché du Bac à Sable mais en lui demandant de s'exécuter dans le Bac à Sable, basiquement, il devrait copier l'arborescence complête dans le bac à sable, donc rien à voir avec l'install faite originellement dans le Bac à Sable.
Petit exemple : J'ai installé dans le Bac à Sable un machin.exe sur C: (Bac_à_Sable\C\machin.exe). Je vais chercher directement le fichier et l'exécuter dans le Bac à Sable, celui-ci se retrouvera dans Bac_à_Sable\C\[chemin_du_Bac_à_Sable_caché]\C\machin.exemachin.exe, qui finalement n'est pas le même que l'original, déjà placé dans le Bac à Sable pourtant.

OK, je suis bien d'accord mais là à ce moment là tu ne pourras jamais avoir une cohérence complète à moins de virtualiser l'intégralité de ton système... Une sandbox est censée protéger une application/un environnement mais pas ton système en entier.

En gros, en utilisant directement le contenu du Bac à Sable, soit tu vas utiliser un fichier "Hors Bac à Sable" alors que tu le croyais dedans, soit tu vas lui re-demander textuellement et ça va copier le fichier da manière bizarre et non intuitive.

C'est pour ça qu'à aucun moment, à mes yeux, tu ne dois accéder au contenu du Bac à Sable directement. Les liaisons avec ton système doivent être forcément gérée par le logiciel de virtualisation, et en aucun cas manuellement.

Tu soulève (en mon sens) juste la limite d'utilisation d'une sandbox qui fait uniquement partie d'un + en matière de sécurité mais qui ne remplace pas la prudence de l'utilisateur. Cela dit la politique actuelle de Comodo est pratiquement la même qu'un HIPS "classic" et ses 12 000 alertes puisque si un utilisateur place une application dans la sandbox, qu'il télécharge un fichier qu'il ne trouve pas il abandonnera sans doute le fait de placer telle ou telle logiciel dans le bac à sable croyant que ça ne marche pas bien.

Là encore je préfère le choix de Avast et de DefenseWall qui ne te brident pas et te laisse tes responsabilités quant aux fichiers téléchargés "volontairement".

Je ne connais pas le Bac à Sable de Comodo donc je ne sais pas si le logiciel est intuitif et complet. Mais cela me choque que vous trouviez que le dossier regroupant les fichiers soit caché puisse être un inconvénient. C'est plutôt le contraire, car cela empêche les utilisateurs non experts de faire des conneries.

Ce que tu dis est trop généralisé par rapport au départ de la discussion qui stipulait uniquement un dossier précis : celui des téléchargements et non autre chose... Je ne vois pas pourquoi on ne devrait pas avoir accès à ce dossier sans être obligé de le rendre "visible"; ça n'a pas de sens... Quel est l'intérêt ? Autant ne pas mettre de dossier du tout dans ce cas... Comme je le disais je préfère Avast qui par défaut te laisse accéder aux fichiers téléchargés mais si tu veux zapper en mode "total parano" alors tu décoche (voir le screenshot) la case qui va bien et là : rien ne passe; y compris les téléchargements.

Quand je donne en exemple DefensWall c'est "pareil", tu dois l'installer sur un système propre donc ça demande la responsabilité de l'utilisateur; idem pour un fichier téléchargé. Ensuite je ne vais pas m'avancer trop sur ce soft (les options, les +, les -...) car je ne le connais qu'à moitié; mais là encore il m'a semblé plus "logique" d'utilisation; en tout cas aucun des 2 ne cache un dossier "Téléchargements de la Sandbox" sous prétexte que...

[Cyborg]

Bah pour ma part, j'utilise Sandboxie, et de base, rien ne sort du Bac à Sable.

Si je télécharge un fichier manuellement, il me demande systématiquement si je souhaites le copier/transférer sur mon ordi (même si je crois qu'il est possible de cocher pour qu'il le fasse automatiquement, justement). Et donc là, c'est bien la Sandbox de Comodo qui pose soucis en ne permettant simplement pas de transfert de fichier en dehors de celle-ci, et pas simplement l'emplacement "caché" des fichiers.
De même, sur Sandboxie, tu peux par exemple régler pour que uniquement le dossier contenant les favoris ne soit pas "Sandboxé" (modif dans la Sandbox = modif réelle), donc vider le Bac à Sable ne change en rien les adresses ajoutées. Par contre, je peux ajouter des Add-on dans mon Bac à Sable, sans qu'ils soient ajoutés dans mon "vrai" Firefox, pour tester. Et dès que j'ai vidé mon Bac à Sable, celles-ci disparaissent. De même, mes cookies s'effacent, mais je pourrai lui demander de les conserver. A ce niveau, Sandboxie est assez agréable.

Mais c'est peut-être des détails anodins ou trop spécifiques pour un utilisateur lambda, qui préfèrera que tout soit réglé de manière "automatique".

A noter que je ne sais pas comment fonctionnent les autres logiciels de virtualisation, mais Sandboxie me rappelle, au bout de 14 jours, que je n'ai pas fait le ménage de mon Bac à Sable. Ce qui me parait logique, puisque c'est une boite de test sécurisée. Si un add-on ou un logiciel rempli son boulot, on l'installe en dur sur le système. Car on revient au point de départ si une merde finit dans ton Bac à Sable... En vidant le Bac à Sable, tu vides tout, y compris les applis dont tu te servais.

Mais j'dois dire ça pour rien vu que t'as l'air de bien savoir te servir de ça. Mais c'est juste que pour moi, un logiciel de virtualisation, c'est une défense "active", dans le sens où tu dois lui dire comment fonctionner dans certaines situations. Alors que l'HIPS, il est sensé te demander ton avis dans des cas particuliers, mais la plupart du temps, il devrait gérer ça tout seul.
Mais je dis ça peut-être parce que je n'ai simplement pas testé de logiciels plus récents et intuitifs.

[future]

Bah pour ma part, j'utilise Sandboxie, et de base, rien ne sort du Bac à Sable.

Si je télécharge un fichier manuellement, il me demande systématiquement si je souhaites le copier/transférer sur mon ordi (même si je crois qu'il est possible de cocher pour qu'il le fasse automatiquement, justement). Et donc là, c'est bien la Sandbox de Comodo qui pose soucis en ne permettant simplement pas de transfert de fichier en dehors de celle-ci, et pas simplement l'emplacement "caché" des fichiers.
De même, sur Sandboxie, tu peux par exemple régler pour que uniquement le dossier contenant les favoris ne soit pas "Sandboxé" (modif dans la Sandbox = modif réelle), donc vider le Bac à Sable ne change en rien les adresses ajoutées. Par contre, je peux ajouter des Add-on dans mon Bac à Sable, sans qu'ils soient ajoutés dans mon "vrai" Firefox, pour tester. Et dès que j'ai vidé mon Bac à Sable, celles-ci disparaissent. De même, mes cookies s'effacent, mais je pourrai lui demander de les conserver. A ce niveau, Sandboxie est assez agréable.

Sanboxie est plus fournit côté options (mais aussi plus ancien). Là en fait tu résume tout : Sanboxie ne te bride pas et te demande où tu souhaite enregistrer ton fichier : pas Comodo qui le place dans ce fameux dossier caché sans autre choix (pour l'instant).

Mais c'est peut-être des détails anodins ou trop spécifiques pour un utilisateur lambda, qui préfèrera que tout soit réglé de manière "automatique".

Ce que tu décris est réaliste et utile mais comme tu le dis pour l'utilisateur "grand public" il lui faut des options simples à comprendre: et honnêtement même quand on est un utilisateur avancé ça devient fatiguant de toujours devoir paramétrer trop d'options inutiles et/ou mal conçues.

A noter que je ne sais pas comment fonctionnent les autres logiciels de virtualisation, mais Sandboxie me rappelle, au bout de 14 jours, que je n'ai pas fait le ménage de mon Bac à Sable. Ce qui me parait logique, puisque c'est une boite de test sécurisée. Si un add-on ou un logiciel rempli son boulot, on l'installe en dur sur le système. Car on revient au point de départ si une merde finit dans ton Bac à Sable... En vidant le Bac à Sable, tu vides tout, y compris les applis dont tu te servais.

Sandboxie n'a pas la même vocation que les bacs à sable de Avast qui par exemple ne te demande rien car le principe est de virtualiser l'application que tu lui dis de virtualiser; ce, de manière permanente et/ou par cession La seule possibilité sera de décocher la fameuse case dont je parle à chaque fois qui là permettra de ne rien mémoriser du tout. Pour DefenseWall, idem car il virtualise les applications que tu place préalablement comme étant "sûres" et ensuite tu n'as rien à faire de particulier.

Mais j'dois dire ça pour rien vu que t'as l'air de bien savoir te servir de ça.

J'espère ne pas t'avoir vexé ou je ne sais pas quoi ? J'essayais juste de te "recadrer" sur la question posée au départ de ce post.

Mais c'est juste que pour moi, un logiciel de virtualisation, c'est une défense "active", dans le sens où tu dois lui dire comment fonctionner dans certaines situations. Alors que l'HIPS, il est sensé te demander ton avis dans des cas particuliers, mais la plupart du temps, il devrait gérer ça tout seul.
Mais je dis ça peut-être parce que je n'ai simplement pas testé de logiciels plus récents et intuitifs.

C'est en ça qu'au bout du compte mieux vaut utiliser DefenseWall (enfin c'est mon avis) qui ne te pose pratiquement pas de question tout en protégeant simplement ce que tu lui dis de protéger, ce, de manière effectivement active mais non-intrusive.

[Cyborg]

J'essayais juste de te "recadrer" sur la question posée au départ de ce post.

Bah en fait, j'essaie surtout de détailler au maximum mon argumentation, parce qu'elle est caduque si on n'a pas la même vision d'un Bac à Sable.

il virtualise les applications que tu place préalablement comme étant "sûres" et ensuite tu n'as rien à faire de particulier.

[/quote]
...
...
...
...
... ?
... ??
... ?!?!?!
Euh... Dans ce cas, c'est quoi l'utilité de "virtualiser" l'application ?

Je savais qu'on avait pas la même vision d'un Bac à Sable.

[future]

...
...
...
... ?
... ??
... ?!?!?!
Euh... Dans ce cas, c'est quoi l'utilité de "virtualiser" l'application ?

Je savais qu'on avait pas la même vision d'un Bac à Sable.

Dans mon cas à empêcher l'installation inopinée et/ou la modification d'un paramètre de mon navigateur (et donc du registre) quand je fais des tests.

[EboO]

la v3 de comodo m'allait très bien , pas de soucis avec le hips je trouve que c'est très efficace pour peu qu'on s'y intéresse un peu.
La v4 c'était pour moi l'occasion de faire tourner certaines applications dans la sandbox histoire de ne pas prendre trop de risques. Après quand je décide de dl un fichier c'est que je suis sûr de mon coup et je n'ai pas envie que ça me complique la vie. La sandbox je la voyais (sûrement à tort) comme un moyen d'éviter les ennuis si une url est détournée par exemple. Et comodo me plaisait bien pour l'idée du tout en un (sauf que j'utilise avira, si malekal veut faire un test de l'av je suis preneur ).

[shaoran]

La sandbox sert, simplement car elle est automatique.
Comodo 4 et sa sandbox sont une protection par deny, autrement dit, plutôt que de demander, on restreint, ce qui avait été annoncé à la sortie de la version finale.

D'après moi, il y a trois scénarios :

Premier cas, l'utilisateur lance une application sûre pour Comodo.
Aucune alerte, tout est autorisé par défaut.

Second cas, l'utilisateur lance une application malveillante connue, l'antivirus prend le relais ou, Defense+ qui consulte le cloud.

Troisième cas, l'utilisateur lance une application inconnue.
Ici, il y a de forte chance que l'application soit placée dans la Sandbox, aucune alerte n'étant demandée hors firewall (je reste contre la config par défaut qui laisse tout sortir sans restriction). Sur Defense+, il semble qu'il reste encore quelques alertes.
Autrement dit, l'utilisateur n'a rien à faire sauf en cas de demande de Defense+, toutefois largement peu présent en comparaison de la version 3.

Une fois sandboxé, l'application ne peut rien faire au système et CIS va envoyé les fichiers inconnus à Comodo qui les analysera.
Deux cas se présentent :
L'application est finalement considérée comme sûre, elle est retirer de la sandbox (temps constaté, moins d'une journée, à confirmer)
L'application est finalement une menace, CIS alerte et supprime.

Autrement dit, l'utilisateur n'a presque plus rien à faire et l'ordinateur est correctement protégé.

Ceci est toutefois l'impression que l'on a si on tente de comprendre le fonctionnement. La version 4 semble ne pas encore être terminée pour ce qui est de la Sandbox, ce qui explique d'ailleurs le fait que la migration v3 -> v4 n'est pas encore commencé.

[EboO]

dans ce cas que faire ? Laisser tourner les applications hors sandbox et considérer qu'avec la sandbox activée elles seront gérées automatiquement ?

[shaoran]

Je pencherai plus pour laisser faire la sandbox lorsqu'elle s'active et attendre que Comodo analyse le fichier en question. Ce que je fais en ce moment pour ma part et qui semble bien fonctionner.

Ajouter un navigateur dans la sandbox, dans le cas d'une application téléchargée volontairement, la sandbox sera réagir dès son exécution si besoin est.
Le problème est plus sur les failles de sécurité du navigateur. Théoriquement, ce dernier ne sera jamais contrôler car il est considéré comme sûr (et la version 4 autorise tout sans demande aux applications sûres), donc l'exécution de code malicieux peut être possible et être un gros problème de sécurité. Il faudrait toutefois tester le comportement de CIS fasse à ce genre d'action.
Toutefois, pour l'instant, mieux vaut patienter pour une vraie version finale avant tout test.