Windows heeft niet hetzelfde beperkte beveiligingsmodel als iPhones of Android-apparaten, waardoor de meeste software toegang heeft tot alle bestanden, systeeminstellingen kan wijzigen of aangesloten hardware kan gebruiken. Dat zou eindelijk kunnen veranderen.
Microsoft heeft zojuist veel functies en wijzigingen aangekondigd voor Windows 11, waaronder een Windows Copilot AI gebouwd op dezelfde technologie als Bing Chat en ChatGPT. Het bedrijf onthulde ook een nieuwe beveiligingsfunctie die Windows-applicaties in een sandbox-omgeving zal isoleren, waardoor ze geen toegang krijgen tot gegevens en instellingen die niet nodig zijn.
Microsoft zei in een blogpost: “Morgen lanceren we in openbare preview de mogelijkheid om Win32-applicaties te isoleren voor zowel consumenten als commerciële doelgroepen. Ontwikkelaars kunnen het risico op beveiligingsinbreuken aanzienlijk verminderen door nieuwe isolatietechnologieën te gebruiken. Door Win32-apps geïsoleerd uit te voeren, wordt voorkomen dat apps onverwachte/ongeautoriseerde toegang hebben tot kritieke interne Windows-subsystemen, waardoor de schade wordt geminimaliseerd als een app wordt gecompromitteerd.”
Het uitvoeren van applicaties in een sandbox-omgeving waar elke toestemming moet worden verleend, is nu gebruikelijk in web-apps, iPhone- en Android-applicaties en macOS (tot op zekere hoogte). De eerste oplossing van Microsoft voor dit probleem was het Universal Windows Platform, of UWP, een nieuwe applicatie-indeling ontworpen voor Windows 8 en Windows Phone (later Windows Mobile) met meer robuuste machtigingen. Dat was een enorm ramp om vele redenen, en Microsoft voegde later UWP-functies en API’s samen in de reguliere Windows API’s (Win32) met Project Reunion. Windows-software kan echter nog steeds relatief onbeperkt draaien op pc’s, in tegenstelling tot originele UWP-apps.
We weten nog niet of de sandbox-functie iets is dat de gebruiker kan bedienen, of dat het een opt-in-functie voor applicaties zal zijn. De mogelijkheid om elke applicatie in een sandbox uit te voeren zou bijvoorbeeld geweldig zijn – ik kan een paar apps op mijn pc bedenken die geen toegang tot mijn hele bestandssysteem nodig hebben.
Zelfs als de sandbox-functie beperkt is tot software die ervoor is gebouwd, kan de functie nog steeds een broodnodige verbetering zijn voor Windows. Webbrowsers zouden het kunnen gebruiken voor sterkere sandboxing, als bescherming tegen toekomstige zero-day-kwetsbaarheden. Sommige pc-games gebruiken anti-cheat die op kernelniveau in Windows draait, wat een aanzienlijk beveiligingsrisico vormt, en misschien zou de ingebouwde Windows-functie een haalbaar alternatief kunnen zijn.
We zullen moeten wachten om erachter te komen hoe sandboxing werkt, maar elke beweging is geweldig om te zien.
Bron: Windows-blog
