Zabezpečení Google Chrome: sandboxy, plug-iny, ochrana proti malwaru a phishingu

16. 9. 2008

Sdílet

Google Chrome spouští každou kartu v samostatném procesu (tzv. sandboxu) a ten úmyslně zbavuje všech systémových práv. Pokud tedy dojde k nějakému problému v jedné kartě, nenaruší to běh ostatních. Krome bezpečnostních důvodů, jako např. ochrana proti buffer overflow exploitům, přináší sandboxing také lepší správu paměti...

Webové prohlížeče bývají dnes posuzovány podle řady kritérií, zabezpečení je však každopádně významným faktorem. Jak je na tom Google Chrome? Odpovídá Vladimír Třebický, Google Krakov.

Jak je na tom Chrome s ochranou proti phishingu?

Google Chrome obsahuje ochranu proti phishingu a malwaru a automaticky se aktualizuje, průběžně si stahuje a aktualizuje seznam nebezpečných (phishingových, ale i jiných) stránek, který pochází z různých zdrojů. Pokud vstupujete na stránku uvedenou v této databázi, zobrazí se vám varování.

Podporuje Chrome nějaký systém certifikátů?

Systém certifikátů přebírá od operačního systému Windows. Každý certifikát (ať už kořenový, osobní, nebo jakýkoliv jiný) nainstalovaný přímo v operačním systému je zároveň platný v Google Chrome.

Obsahuje Chrome nějaký vestavěný webový štít?

Google Chrome nabízí ochranu pro virům, nebezpečným skriptům, phishingu, atp. Kromě toho spouští každou kartu v samostatném procesu (tzv. sandboxu) a ten úmyslně zbavuje všech systémových práv. Pokud tedy dojde k nějakému problému v jedné kartě, nenaruší to běh ostatních. Krome bezpečnostních důvodů, jako např. ochrana proti buffer overflow exploitům, přináší sandboxing také lepší správu paměti apod.

Jak řeší Chrome plug-iny a komponenty ActiveX?

Google Chrome podporuje NPAPI rozhraní pro pluginy, jako jsou např. Flash, Adobe Reader, Windows Media apod. Tyto obecně nejsou pro běh v sandboxech uzpůsobené, abychom se tedy nemuseli sandboxů vzdát, spouštíme pluginy v samostatných procesech. Kromě bezpečnostních důvodů je to také cesta, která může potenciálně izolovat nefunkční nebo rozbité pluginy tak, aby nenarušovaly běh zbytku stránky. Google Chrome nepodporuje ActiveX.
Do budoucna bude Google Chrome podporovat hlavní plug-in pro korektní běh webu a budeme nadále pracovat na podpoře plug-inů pro lepší uživatelskou zkušenost.

Jakým způsobem bude Google vydávat bezpečnostní aktualizace/záplaty?

Google Chrome se aktualizuje automaticky sám.

Viz také:
Google vydává první opravy Chrome
První bezpečnostní chyby v Google Chrome: buffer overflow při ukládání stránky

Autor článku