Tach,

_Auf dem 12. Deutschen IT-Sicherheitskongress in Bonn hat die Sirrix AG im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit der Lösung BitBox ("Browser in the Box") eine abgesicherte Surfumgebung präsentiert.

Hat jemand Erfahrung?

nicht direkt

Was ist hiervon zu halten?

Eher Abstand:

• Die Virtualisierungstechnik ist von Oracle, die nicht für ihr Bug-Management und das flotte Fixen von sicherheitsrelevanten Bugs bekannt sind (z.B. http://www.theregister.co.uk/2015/12/22/ftc_oracle_java/).
• Virtualisierung führt eine weitere Komplexitätsschicht ein, die zusätzliche Angriffsfläche bieten kann, Teile der Virtualisierung werden mit erhöhten Rechten laufen müssen, ein normaler Browser dagegen nicht.
• Die Versionshistorie zeigt nichts gutes (sofern das alle veröffentlichten Versionen sind), weil die Abstände zwischen den Releases zu groß wären.
• Die Open-Source-Version auf der das ganze basiert hat eine andere Versionsnumemr als das aktulle Release http://download.sirrix.com/content/pages/bbdl-en.htm; es bestehet also keine Möglichkeit zu überprüfen, was in der veröffentlichten Version läuft, von deterministischen Builds mal ganz abgesehen.
• Es gibt keine Auflistung welche Versionen welcher Software in der aktuellen Version enthalten sind.
• Die Doku (z.B. http://www.sirrix.com/content/pages/BitBox_faq_en.htm) ist nicht aktuell.

Demnach bräuchte man ja keine Virenscanner mehr.

Wenn man vorher einen brauchte, dann braucht man den auch damit noch; allgemein sollte man aber eher keinen brauchen.

mfg
Woodfighter