Насколько безопасен Google Chrome

26 января 2009 (InfoWorld) Google Chrome был сделан на основе c целью быть более безопасным веб-браузером, и компании Google и её разработчика нужно отдать должное, за их усилия воплощённые в защите браузера. Гугл заслуживает достаточно похвалы за богатство информации о безопасности (загрузите PDF) описанной в Интернет и на его блоге Google Chrome и за то, что эта информация доступна каждому.

Модель защиты, которую преследует Chrome, превосходна. Chrome отделяет главную программу браузера, названную ядром браузера, от процессов предоставления, которые выполняются на движке WebKit , также используемом .'s Apple Inc Сафари. Ядро браузера основывается на удаленных привилегиях, SID (Security Identifier идентификаторе безопасности в Windows Vista, который обозначает, что пользователь не заслуживает доверия), и многократных "ограничениях" и "запрете" допускаемых SID. На Windows Vista, Chrome выполняется как процесс средней целостности.
Каждому Сайту дают его собственный отдельный процесс , пространство памяти, глобальные структуры данных, маркер доступа, табулятор, строку URL, рабочий стол и т.д. В настоящее время, Сhrome поддерживает целых 20 отдельных процессов, один для каждого сайта, управляет совместными процессами между сайтами . Отдающие процессы высоко ограничены относительно того, что они могут и не мочь сделать. На Windows Vista, процессы Chrome, выполненные с низким доверием очень похожи на Internet Explorer в защищенном режиме. Но Chrome фактически использует принудительный контроль доверия более надежно, чем Microsoft. Chrome пытается препятствовать процессам браузера низкого доверия обращаться к ресурсам высокого доверия, который обычно не предотвращается. (По умолчанию, Vista предотвращает запросы с низким доверием к ресурсам высокого доверия, но не чтение.)

И ядро браузера и процессы работают с DEP (Протекция выполнения данных) и ASLR (формат размещения адресного пространства) допускаемый и с заблокированной виртуализацией. Любые дополнительные дополнения браузера выполняются в отдельном, среднего доверия процессе (или более высоком). Это изображение показывает различные процессы браузера и их параметры настройки защиты, как например диспетчером задач на Windows Vista. Сhrome даже имеет свой собственный менеджера задач и внутреннюю страницу, чтобы показать статистику процессов центрального процессора и памяти. Что касается основной модели защиты, Сhrome опережает других. Это красиво.
Есть интересные новшества.

Немного сомнительный выбор - решение Google Сhrome устанавливаться без прав администратора. Это заставит Chrome столкнуться с трудностями в среде предприятий, но Microsoft поощряет этот вид поведения для всех поставщиков (предотвращать модификации системы Windows). Сhrome - только одно из первых главных приложений, которые следуют за советом Microsoft.

Хром также устанавливает приложение Googleupdate.exe. Это сделано с целью автоматически выполняться в планировщике задач Windows Vista, который часто дозванивается до сервера (сразу при загрузке операционной системы), проверяет браузер (и другие приложения Google) на предмет модификации и устанавливает их. Это - хороший способ сохранить браузер в свежем виде; патчи в настоящее время выходят более часто чем один раз в неделю - но это раздражает многих администраторов безопасности, потому что нет никакого уведомления о поисковых запросах , нет уведомлений о том, что эти патчи могут быть одобрены с точки зрения безопасности. Кроме того, это поведение не может быть легко изменено.

Другая интересная концепция - виртуальный движок JavaScript Chrome, названная V8. Группа разработчиков Google Chrome разработала свою собственную виртуальную среду для всех JavaScript приложений. V8 даже конвертирует код Javascript в родной машинный язык (чтобы ускорить загрузку Web-страницы) и имеет собственные процессы памяти, инспектор исходного текста и отладчик. V8 значительно ограничивает то, что может быть выполнено JavaScript против системы пользователя, включая предотвращение нормального управления JavaScript . В тестах, Chrome проявил себя хорошо , но перенес проблемы интерфейса пользователя и медлительности на некоторые JavaScript модальные испытания.

Chrome имеет достаточно стандартных особенностей защиты, включая режим безопасности сеанса браузера, названный Инкогнито; антифишинг - способность названная Google Chrome's Safe Browsing; сброс установок одной кнопкой; принудительное сохранение файла перед запуском; обработка имени, которая помогает пресекать попытки ввести в заблуждение браузер запускать вспомогательных приложений, которые могут эксплуатироваться; MIME, который помогает пресекать попытки ввести в заблуждение браузер загружать информацию злонамеренного содержания. Chrome фактически имеет еще много особенностей защиты, о которых я мог продолжить разговор.

Сомнительный контроль

Но действительность весьма сурова. Одно из самых явных оплошностей - неспособность отключить JavaScript. Поскольку JavaScript вовлекается наиболее злонамерными сетевыми атаками, конкуренты Google сделали так, что в своих браузерах JavaScript находился в отключенном состоянии глобально, или на конкретном сайте, или группе сайтов (хотя, Firefox требует стороннего дополнения, NoScript, для каждого сайта). Мир должен все же создать виртуальную машину, которая не может быть нарушена внешними воздействиями, только несмотря на весь интеллект, который вошел в V8, я не могу понять, как Google совершил такую оплошность, при том что компания пробует продвинуть приложения JavaScript и сайты. Если JavaScript потерпит неудачу, или вернее, когда это произойдет - кажется, единственный путь, которым должен будет пойти Google - он должен будет прекратить его использование.

Большинство параметров настройки защиты, вводимых пользователем, находится под вкладкой опции, названной "Under the Hood." Когда вы открываете её, вы понимаете, как мало Chrome предлагает вам параметров настройки защиты. Опций очень мало и они испытывают недостаток в безопасном значении по умолчанию. Например, все типы cookies назначаются по умолчанию. Это не удивительно для компании, которая строит жизнь на рекламе. Но даже сторонние cookies ограничили бы режим, позволяющий чтение любого стороннего cookies, а также ограничили бы его модификацию. В другом примере бедного значения по умолчанию, данным HTTP позволено смешиваться с данными HTTPS в том же самом виде, не предупреждая об это пользователя.

Другая критическая особенность защиты, которая не реализована - способность поместить различные сайты в отдельные зоны безопасности или домены. Большинство браузеров позволяют разместить по крайней мере две зоны (Internet Explorer имеет пять) или способность заводить черный и белый список. В Chrome также явно отсутствует особенность управления предприятием. SSL/TLS (Протокол SSL / транспортный уровень защиты) проверка аннулирования сервера допускается по умолчанию, но Chrome не поддерживает более эффективный OCSP (Сетевой Протокол состояния свидетельства) протокол, проверяющий аннулирование , хотя во всех конкурентах Google это имеется.

Гугл также "уклонился" от ответственности за защиту дополнений. Рецензенты очень смешаны на этом подходе. Ясно, что продавцы браузера не отвечают в конечном счете за другие дополнения и приложения, в Chrome отсутствует управление дополнением. Вы не можете легко определить, какие дополнения предоставят специфическое содержание, и при этом Вы не можете легко отключить их.

Много пользователей встревожены обработкой их собственных сохраненных паролей. Chrome позволяет текущему пользователю показывать сохраненные имена входа в систему и пароли в открытом тексте несколькими щелчками мыши. Это удобно для пользователя - и для кого - либо еще, кто хочет узнать пароль пользователя и видит, что компьютер оставлен в течение нескольких секунд без присмотра. Internet Explorer не позволяет этого вообще, Firefox и Опера по крайней мере имеют способность защищать сохраненные пароли другим паролем. С помощью оценщика управления паролями , тестирующего сайты, Chrome оказался худшим среди всех браузеров, которые я проверил, включая Firefox, Internet Explorer, Opera и Safari, пройдя только 4 из 21 испытания.

ВСТАВКА

“Страсти”

Chrome имеет очень ограниченный набор признаков и относительно умеренную сложность. Это могло бы помочь браузеру избегать некоторых проблем безопасности в конечном счете, но пока их нет. У Chrome было 10 выпусков за эти пять месяцев (Вы можете искать его по ключевому слову Chrome на milw0rm.com). Они были исправлены.

На хорошей ноте, Chrome прошел все испытания безопасности браузера, которыми я его тестировал и предотвратил автоматическую инсталляцию любого malware. Эти испытания включали множества предопределенных тестов, сделанных в лаборатории, несколько испытаний защиты браузера в интернете, включая scanit и Jason's Toolbox. Я изучал трафик, анализирующий информационные утечки, проверил обработку браузером сценария перекрестного сайта, особенности секретности, подтверждал цифровую обработку свидетельства и занялся серфингом больше чем 100 сайтов. С менее чем 2%-ым рыночным ресурсом, Chrome - не является целью хакеров. Это дает его пользователям дополнительную защиту по сравнению с его конкурентами.

Одна ключевая особенность не работает как было обещано. Google неоднократно делал заявление, что изоляция процесса предоставления Chrome препятствует одному сеансу браузера сбивать другой или затрагивать целый браузер. Все же, уязвимость после уязвимости доказала, что разделение процессов браузера Chrome не столь совершенна, как это звучит на бумаге. Сомнительные сайты всех видов причиняют проблему обслуживанию, совершают блокировки и системный отказы. Я и любой другой пользователь Chrome, которого я знаю, испытали на себе блокировку браузера при просмотре обычных, законных Web-страниц.

Гораздо более показательна из систематических проблем - начальная уязвимость - была найдена в Chrome очень простыми, известными способами. Первоначально, Google отправил его beta уязвимую версию с движком WebKit , для которого был выпущен патч месяцем ранее. Я понимаю, что это был только код beta. Атаки буферного переполнения, которые были скоро обнаружены, были часто простым переполнением строки, уязвимость, которую любой нормальный обзор кода защиты или инструмент fuzzing должны были обнаружить. Большинство из уязвимостей были недостатками, о которых широко стало известно при использовании другими браузерами и их не должно было быть в браузере от Google

Это - парадокс защиты Chrome. Всё начинается с красивой идеи и превосходной модели защиты, но затем всё ставится под угрозу с сомнительными решениями, недостаток гранулированного контроля защиты и очевидного отказа исполнить серьезный обзор кода. Это может быть первой версией Google его первого браузера, но он имеет больше опыта с борьбе с другими браузерами и сомнительными сайтами, чем любой из его конкурентов. Почему выпускают еще один новый веб-браузер и не прекращают конкуренцию ?

Превосходная модель защиты Chrome и новизна дают ему шанс быстро улучшиться в областях, где другие его конкуренты должны прогрессировать более медленно из-за проблем прежней совместимости. Реальный вызов - это то, что большие недостатки являются человеческими - и ориентированными на процесс, и они не могут быть решены с быстрым внесением исправлений. Они являются систематическими и будут требовать серьезного сдвига парадигмы в пределах Google, прежде чем будут достигнуты.