Podziel się opinią o serwisie

reklama

 IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Chrome to wzorowo zabezpieczona przeglądarka?

9 stycznia 2010

securitystandard
Tak w każdym razie twierdzi Dino Dai Zovi, ceniony specjalista ds. bezpieczeństwa oprogramowania (współautor książki The Mac Hacker's Handbook). Zdaniem eksperta, Google wzorowo wykorzystał w swoim produkcie technikę sandboxingu i wyznaczył tym samym standard zabezpieczenia przeglądarki przed wszelkimi atakami.

W skrócie rzecz ujmując, sandboxing polega na odizolowaniu danej aplikacji od reszty uruchomionego oprogramowania - dzięki temu nawet jeśli ktoś zdoła sforsować zabezpieczenia Chrome'a, to i tak nie będzie w stanie wykorzystać tego np. do przejęcia kontroli nad systemem lub uzyskania dostępu do danych użytkownika.

Dino Dai Zovi poświęcił temu zagadnieniu dłuższy wpis, opublikowany przed kilkoma dniami na blogu ThreatPost, prowadzonym przez firmę Kaspersky Labs. Specjalista tłumaczy w nim, że Google znakomicie skontruował cały model zabezpieczeń przeglądarki - Zovi pochwalił zwłaszcza zastosowanie wspomnianego sandboxingu oraz techniki o nazwie "privilege reduction" (czyli ograniczenia przywilejów aplikacji w systemie operacyjnym). Te rozwiązania znacznie poprawiają bezpieczeństwo nie tylko samej przeglądarki, ale także OS-u, w którym jest ona uruchomiona. Bo nawet jeśli ktoś znajdzie jakąś poważną lukę w Chrome (w teorii pozwalającą np. na uruchomienie nieautoryzowanego kodu), to system i tak będzie bezpieczny. Chyba, że ktoś znajdzie i jednocześnie wykorzysta lukę w samym sandboksie.

W rozmowie z dziennikarzem amerykańskiego ComputerWorlda Dino Dai Zovi stwierdził, że zastosowanie w Chrome takich zabezpieczeń z czasem sprawi, że przestępcy chcący atakować komputery z tą przeglądarką będą musieli stosować niestandardowe metody - np. podsuwać użytkownikowi fałszywe aplikacje antywirusowe (będące w rzeczywistości np. trojanami). Będzie to konieczne, ponieważ klasyczne ataki przeglądarkowe - polegające np. na zwabienia użytkownika na stronę z exploitem instalującym w systemie złośliwe oprogramowanie (przez lukę w przeglądarce) - w przypadku programu zabezpieczonego sandboxingiem będą praktycznie bezużyteczne.

Ekspert dodał, że wszyscy producenci przeglądarek powinni wziąć przykład z Google. "Popularność klasycznych webowych ataków jest tu najlepszym argumentem. Moim zdaniem jest to [powszechne stosowanie sandboxingu - red.] jest krytyczne dla ogólnego bezpieczeństwa w Internecie. Przeglądarki stają się powoli systemami operacyjnymi, dlatego muszą być lepiej zabezpieczone. Google jest pierwszą firmą, która to sobie uświadomiła - a Chrome to najlepszym przykład, jak powinny wyglądać takie zabezpieczenia" - mówi Zovi.

Warto dodać, że Mozilla Firefox, Safari firmy Apple oraz Opera nie są wyposażone w takie zabezpieczenia (Zovi zwraca uwagę, że Apple zastosował sandboxing w niektórych elementach systemu Snow Leopard - ale w Safari nie). Pewną namiastkę takiego rozwiązania znajdziemy w Internet Explorerze 7 i 8 (ale wyłącznie w Windows Vista i Windows 7) - jest tam zabezpieczenie o nazwie "Protected Mode", którego zadaniem jest ograniczenie przywilejów przeglądarki w systemie, tak by utrudnić uruchomionemu w niej złośliwemu kodowi uszkodzenie systemu. Ale Dino Dai Zovi zwraca uwagę, że tak naprawdę to nie jest to "prawdziwy" sandbox.

Nad wyposażeniem swojego produktu w sandbox pracuje już Mozilla - w ramach projektu "Electrolysis". Wiadomo jednak, że ta technologia pojawi się w Firefoksie najwcześniej w wydaniu 4.0 (czyli pod koniec bieżącego roku lub na początku przyszłego).

Wystaw ocenę:
   Średnia ocena (liczba głosów: 7)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

~Gość

  • ocena: brak oceny
  • IP: 90.156.104.13
  • 09-01-2010, 09:52

W końcu rok temu nie udało się jej złamać na zawodach Pwn2Own 2009. Już wtedy zwycięzca z roku 2008 stwierdził że pomimo znał lukę w Webkit to nie był w stanie jej wykorzystać z powodu ''piaskownicy''. A luka była na tyle poważna że Safari poległo na niej w kilka minut.

http://arstechnica.com/security/news/2009/03/chrome-is-the-only-browser-left-standing-in-pwn2own-contest.ars

"Miller also told reporters that he targeted Safari on Mac OS X because he believes that it is the easiest to exploit. Windows, on the other hand, he claims is tougher because of its address randomization feature and other security measures. As for Chrome, he says that he has identified a security bug in Google''s browser but has been unable to exploit it because the browser''s sandboxing feature and the operating system''s security measures together pose a formidable challenge"

Ciekawe czy w tym roku wyjdzie także zwycięsko z konkursu. Pewnie każdy będzie chciał być pierwszą osobą która znajdzie w jej zabezpieczeniach jakiś błąd

~Gość

  • ocena: 5
  • IP: 90.156.104.13
  • 09-01-2010, 09:57

W końcu rok temu nie udało się jej złamać na zawodach Pwn2Own 2009. Już wtedy zwycięzca z roku 2008 stwierdził że pomimo znał lukę w Webkit to nie był w stanie jej wykorzystać z powodu ''piaskownicy''. A luka była na tyle poważna że Safari poległo na niej w kilka minut.

http://arstechnica.com/security/news/2009/03/chrome-is-the-only-browser-left-standing-in-pwn2own-contest.ars

"As for Chrome, he says that he has identified a security bug in Google''s browser but has been unable to exploit it because the browser''s sandboxing feature and the operating system''s security measures together pose a formidable challenge"