Chrome已成瀏覽器安全標準
據國外媒體報道,金融服務行業的獨立安全專家,兼《The Mac Hackers Handbook》的作者迪諾·佐威(Dino Dai Zovi)今天表示,所有瀏覽器開發商都應該向谷歌Chrome瀏覽器學習。
佐威相信,未來操作系統和用戶數據的安全將主要依賴“沙盒”,這種設計可以獨立應用程序的處理進程。
在卡巴斯基實驗室的ThreatPost博客中,佐威稱,沙盒設計 “可以將公牛(不信任數據)從陶瓷店(用戶數據)轉移到它所屬于的地方”。
沙盒設計將加大惡意軟件入侵電腦的難度。即使攻擊者能夠利用瀏覽器漏洞并執行惡意軟件,他仍需要利用沙盒技術存在的漏洞才能入侵操作系統,以及取得用戶數據。
佐威在接受采訪時表示:“沙盒技術顯著地提高了安全標準,攻擊者將不得不改變其攻擊方式,例如流氓殺毒軟件。”
佐威認為, Web攻擊的加劇要求瀏覽器采取沙盒技術。瀏覽器將成為操作系統。自2008年9月份發布,Chrome瀏覽器就融入了沙盒技術。谷歌首先實現了這種構想,Chrome將改寫瀏覽器的歷史。
Vista和Windows 7系統的IE7和IE8都有一個被稱為“保護模式”的安全功能,它可以降低應用程序的權限,攻擊者因此很難編寫、篡改和破壞計算機中的用戶數據,或者安裝惡意軟件。但是,“保護模式”并不是真正的沙盒設計。
目前,Firefox,Safari和Opera都不具備沙盒技術和降低權限安全功能。蘋果已經在雪豹系統中融入了一些沙盒技術,安全專家們卻希望蘋果在Safari瀏覽器中使用這項技術。
Mozilla正在開發類似Chrome沙盒的Firefox安全功能,該功能被稱為“Electrolysis”。 Mozilla預計在Firefox 4.0中加入這項新的功能,但Firefox 4.0預計在2010年底或2011年初才能發布。
佐威表示,盡管這項技術不能堪稱完美,但這是我們應該努力的方向。漏洞補丁方法顯然已經不適用。我們永遠都無法贏得這種無休止的補丁競賽。
【編輯推薦】
