Jak bezpečný je Google Chrome?

7. 2. 2009

Sdílet

Nový webový open source prohlížeč Google Chrome je frustrující směsicí prvotřídní bezpečnosti, sporných rozhodnutí a kritických nedostatků v bezpečnostním nastavení.

Jak bezpečný je Google Chrome?


Google Chrome byl vyvíjen v prvé řadě jako nový, bezpečný webový prohlížeč, a je na místě jeho vývojářům zatleskat za pozornost, kterou tomuto odvětví ve svém úsilí věnovali. Další uznání patří Googlu za množství informací o bezpečnosti na internetu, a také za open source licenci, která umožňuje komukoli kód prohlížeče zkoumat a prověřovat z bezpečnostního hlediska.

Ostatně bezpečnostní model, který Google Chrome používá, je jednoduše vynikající. Odděluje hlavní jádro prohlížeče od zobrazovacího procesu, který je založen na open source WebKit enginu  (ten mimochodem používá také Safari od Apple). Na každou webovou stránku připadá samostatný zobrazovací proces a je jí přiřazen specifický paměťový prostor. Součástí prohlížeče je také vlastní správce úloh, který ukazuje jednotlivé vytížení paměti a procesoru. Je zřejmé, že tady Google Chrome zabodoval.

 

Zajímavá vylepšení v Google Chrome


Poněkud diskutabilní je možnost prohlížeč nainstalovat, aniž byste byli správcem. Například Microsoft tuto možnost nepodporuje, aby zabránil případným modifikacím systému Windows. Chrome je jednou z prvních velkých aplikací, která to umožňuje.

Chrome také instaluje aplikaci Googleupdate.exe, která automaticky běží v plánovači úloh ve Windows Vista a kontroluje aktualizace prohlížeče (i jiných Google aplikací), a tiše je instaluje. Je to skvělý způsob, jak udržet prohlížeč aktualizovaný, ale spoustě správců se nelíbí. Proč? Vše totiž probíhá bez jakéhokoli oznámení nebo zprávy, a nelze to lehce změnit či upravit.

Další zajímavou věcí u Google Chrome je virtuální stroj pro zpracování Java Scriptu (nazvaný V8). Co se toho týče, vývojáři si pro všechny procesy vytvořili vlastní prostředí. V8 dokonce převádí Java kód do strojového, což slouží k urychlení načítání stránek. Součástí V8 je také ochrana proti klasickým pop up oknům, se kterými si Chromě během testování poradil vcelku hravě. Vyskytly se však problémy s uživatelským rozhraním a pomalostí při některých z klasických testů Java Scriptu.

 

Problematické ovládání u Google Chrome


Jedním z největších nedostatků je nemožnost zakázat Java Script, protože právě s ním jsou spojena ta nejzákeřnější napadení počítače z internetu. Zatím nebyl vynalezen virtuální stroj, který by nešlo obelstít, takže navzdory inteligenční úrovni V8 nám není jasné, jak mohl na něco takového Google zapomenout.

Po dalším prozkoumání zjistíte, jak malé a omezené možnosti máte, co se týče bezpečnostního nastavení. Je jich skutečně velmi málo a často postrádají bezpečné standardní nastavení. Například jsou standardně povoleny všechny cookies, ale od společnosti, která si vydělává reklamami, to moc překvapující není. Dále úplně chybí možnost umístit webové stránky do oddělených bezpečnostních zón. Většina prohlížečů má k dispozici alespoň dvě (Internet Explorer dokonce pět), tzv. černou a bílou listinu.

Do dalších problémů se dostává například kvůli kontrole doplňkových aplikací a ochraně uložených hesel, kdy při testování doslova pohořel. Ze všech testovaných (Firefox, Internet Explorer, Opera a Safari) dopadl nejhůře a uspěl pouze ve 4 ze 21 testů.

google chrome


Ať nezůstáváme jen u toho špatného, vraťme se i k něčemu pozitivnímu. Chrome úspěšně prošel všemi zvolenými testy webových prohlížečů a zabránil automatické instalaci jakéhokoli malware. Se zastoupením asi u 2% uživatelů se zatím nestal oblíbeným cílem hackerů, což mu v porovnání s konkurencí hraje do karet.

Jedna klíčová vlastnost však nefunguje tak úplně správně, jak je uváděno. Google opakovaně tvrdí, že samostatný zobrazovací proces předchází tomu, aby jedna relace shodila druhou, nebo působila na celý prohlížeč. Bylo však zjištěno, že v praxi už proces není tak dokonalý, jako teorie na papíře. Návštěva některých nebezpečných stránek měla dokonce za následek až selhání systému.

Další „zajímavostí“ je, že Google nejprve vypustil beta verzi s verzí WebKit enginu, o které se vědělo, že je napadnutelná, a patch na ni byl vydán již měsíce předtím. Uvědomujeme si, že šlo jen o beta kód, ale i tak je to pro Google ostuda.

Právě v tom spočívá bezpečnostní paradox Chromu. Hrne se do boje se skvělým nápadem a prvotřídním bezpečnostním modelem, pak ale ustupuje kvůli sporným rozhodnutím, nedostatkům v bezpečnostním nastavení a zřejmému selhání ve zhodnocení kódu.

 

bitcoin školení listopad 24

Verdikt:

I když jde o první internetový prohlížeč pocházející přímo od společnosti Google, jsme za něj rádi, ale mohl dopadnout i lépe. Bezpečnostní model a nové prvky jsou obdivuhodné, ale i přesto mají vývojáři před sebou ještě dlouhou cestu při odlaďování četných drobných nedostatků.