Experti chválí sandboxy v Google Chrome

Bezpečnostní výzkumník Dino Dai Zovi vyzval dodavatele webových prohlížečů, aby se inspirovali zabezpečením Google Chrome. Chválí především spouštění webů v samostatných procesech izolovaných od zbytku systému – sandboxech.


Zovi uvedl, že v Chrome jsou i další užitečné bezpečnostní techniky, např. snižování oprávnění. Obecně sandbox od sebe odděluje spuštěné procesy a operační systém/uživatelská data. Pokud útočník zneužije zranitelnost prohlížeče, ještě stále by mu to nemělo umožnit ovládnout počítač/získat z něj data/spustit zde kód. Musel by ještě dokázat najít a zneužít další zranitelnost na úrovni sandboxu.

Dai Zovi pro americký Computerworld dokonce uvedl, že sandboxing natolik zvyšuje zabezpečení prohlížeče, že podvodníky donutí přejít k jinému typu útoků namísto současného zneužívání zranitelností. Další nárůst by pak podle Zoviho mohly zaznamenat například falešné antiviry.

Protože ale operačním systémem budoucnosti bude de facto právě webový prohlížeč, bez sandboxingu množství útoků z webu naopak nadále poroste. Internet Explorer 7 a 8 na Windows Vista a Windows 7 umožňují provoz v chráněném režimu (Protected Mode), Dai Zovi ale uvádí, že tato technologie není srovnatelná se skutečnými sandboxy – pouze snižuje oprávnění, ale neznamená oddělení jednotlivých procesů.

Firefox, Safari ani Opera žádnou podobnou ochranu dnes nenabízejí vůbec. Apple sice sandboxing implementoval do operačního systému Snow Leopard, do prohlížeče Safari však ne. Mozilla po vzoru Google Chrome vyvíjí technologii sandboxů v rámci projektu Electrolysis; sandboxy by se měly objevit ve Firefoxu 4.0, který však nebude uveden dříve než na konci tohoto roku (a možná až na počátku roku 2011).

 











Komentáře