Bezpečnost Google Chrome: skvělý základ nestačí

7. 2. 2009

Sdílet

Jak je na tom Chrome s ochranou paměti, aktualizacemi, zpracováním JavaScriptu, správou hesel nebo ochranou proti automatickému spuštění malwaru? A jak vypadá vlastní jádro celého systému zabezpečení?

O bezpečnostních problémech prohlížeče Google Chrome jsme již na Science Worldu psali.

Viz např.

První bezpečnostní chyby v Google Chrome: buffer overflow při ukládání stránky

Google vydává první opravy Chrome

Jak je na tom tento browser s bezpečnostní celkově? „Bezpečnostní model, který Google Chrome používá, je jednoduše vynikající. Odděluje hlavní jádro prohlížeče od zobrazovacího procesu, který je založen na open source WebKit enginu (ten mimochodem používá také Safari od Apple). Na každou webovou stránku připadá samostatný zobrazovací proces a je jí přiřazen specifický paměťový prostor. Součástí prohlížeče je také vlastní správce úloh, který ukazuje jednotlivé vytížení paměti a procesoru,“ uvádí náš sesterský server PC World.

Jenže kvalita celkového návrhu je vyvážena dílčími nedostatky. Diskutabilní je možnost nainstalovat prohlížeč nejen z účtu správce. Aktualizace prohlížeče probíhá bez jakékoliv kontroly uživatele a proces nelze nijak upravovat, což sice umožňuje udržet prohlížeč stále aktualizovaný/záplatovaný, ale nelíbí se řadě správců podnikové IT infrastruktury.

Google Chrome používá pro zpracování JavaScriptu sice kvalitní interpreter, nicméně v prohlížeči nejde JavaScript vůbec zakázat – i to může být (potenciálně) zdrojem ohrožení.

Chybí možnost rozdělit webové stránky do různých bezpečnostních zón, špatná je správa/ochrana uložených hesel.

(viz i článek Chrome a Safari by potřebovaly lepší správu hesel)

Prohlížeč se naopak nepodařilo v testech obelstít a dosáhnout automatické instalace malwaru.

Další informace (nejen o zabezpečení) Google Chrome najdete v článku na našem sesterském serveru PC World.

Viz také rozhovor o zabezpečení prohlížeče přímo se zástupci společnosti Google

Zabezpečení Google Chrome: sandboxy, plug-iny, ochrana proti malwaru a phishingu

 

bitcoin školení listopad 24