Chrome má nové bezpečnostní funkce, inspiruje se u IE8

30. 1. 2010

Sdílet

Součástí nejnovější aktualizace pro webový prohlížeč Chrome je i několik nových bezpečnostních funkcí, včetně dvou, kterými se již v loňském roce prezentoval Microsoft u svého IE8.

„Nejnovější stabilní build Chrome (tímto termínem Google označuje aktuální finální verzi prohlížeče) obsahuje pět bezpečnostních doplňků. Ty jsou určeny především pro ty webové návrháře, kteří chtějí vytvářet bezpečnější stránky“ říká Adam Barth, softwarový inženýr v týmu Chrome.

Zajímavé přitom je, že dva z těchto bezpečnostních prvků jsou již delší dobu součástí prohlížeče Internet Explorer 8, tedy produktu, který mnozí považují za zaostalý a který má problém udržet krok se svými konkurenty, jako jsou Chrome či Firefox, jejichž aktualizace probíhá častěji.

V prvním případě se jedná o X-Frame-Options, bezpečnostní nástroj, který pomáhá chránit webové stránky před tzv. „clickjacking“ útoky. Microsoft tuto funkci do IE8 nasadil i přes tvrzení některých bezpečnostních odborníků, že její zavedení bude mít na ochranu uživatelů nulový dopad.

Termín clickjacking byl poprvé použit v září loňského roku Robertem Hansenem, CTO u SecTheory LLC, a Jeremiahem Grossmanem, CTO u Whitehat Security, k popsání útoku, který uživatele přiměje ke kliknutí na škodlivý odkaz. K takové činnosti může být uživatel donucen v domnění, že jde o legitimní stránku. Výsledkem pak může být například vyprázdněný bankovní účet, tajně zapnutá webkamera či změna bezpečnostního nastavení počítače. Více informací naleznete v článku našeho sesterského webu SecurityWorld: Clickjacking: jaká je šance na úspěšnou obranu.

Další funkcí, kterou se Google nejspíše inspiroval u IE8, je Cross-site scripting (XSS) ochrana. „Do Googlu Chrome 4 jsme přidali experimentální funkci, která by uživatele měla ochránit před XSS útoky“ říká Barth. „Náš XSS filtr kontroluje, zdali skript, k jehož spuštění má na webové stránce dojít, je také součástí žádosti, kterou přináší samotná stránka. Je-li tomu tak, jde o silnou známku toho, že by webový server mohl být zneužit k XSS útoku.“

Cross-site scripting byl poměrně častou záležitostí v roce 2008, v loňském roce již méně. Využívají jej především zloději identity jako součást širší phishingové kampaně.

Barth uznává, že filtr XSS v prohlížeči Chrome se může podobat tomu v IE8 či add-onu NoScript ve Firefoxu. Rozdíl je však prý v tom, že filtr v Chrome má svá specifika s ohledem na WebKit, open source renderovací jádro, které je základem nejen prohlížeče Chrome ale i Safari od Applu. „Protože je XSS filtr integrován s jádrem WebKit, je možné skripty zachytit těsně předtím, než jsou provedeny, což usnadňuje odhalení některých složitějších variant útoků.“

Google svůj prohlížeč aktualizoval na verzi 4.0 počátkem tohoto týdne. Více se dočtete v článku Chrome: Google opravuje 13 chyb, přidává i rozšíření.