Chrome 4 bezpieczniejszy, częściowo naśladując Internet Explorera 8
W najnowszej stabilnej wersji przeglądarki Google wprowadzono kilka nowych mechanizmów zabezpieczeń. Nie wszystkie z nich są jednak innowacyjne - dwa znane są z Internet Explorera 8. O poprawkach w systemie zabezpieczeń Chrome 4 poinformował jeden z inżynierów oprogramowania w Google, Adam Barth, w blogu Chromium.
W najnowszej stabilnej wersji przeglądarki Google wprowadzono kilka nowych mechanizmów zabezpieczeń. Nie wszystkie z nich są jednak innowacyjne - dwa znane są z Internet Explorera 8.
O poprawkach w systemie zabezpieczeń Chrome 4 poinformował jeden z inżynierów oprogramowania w Google, Adam Barth, w blogu Chromium. Wśród wymienionych przez niego nowości znajdują się m.in. opcje "X-Frame-Options" i ochrona przez atakami typu XSS.
Pierwsza z funkcji ma zapobiegać zjawisku zwanemu clickjacking. Mianem tym określane są cyber-ataki, w wyniku których internauta klikając przyciski czy łącza na witrynie znanej i uważanej za bezpieczną, inicjuje szkodliwe dla siebie akcje (np. potajemną zmianę ustawień antywirusa czy uruchomienie kamery internetowej).
Druga opcja ma zabezpieczać użytkownika Chrome przed działaniami crackerów używających techniki cross-site scripting. Polega ona na osadzaniu na stronach WWW (przy użyciu znalezionych luk w zabezpieczeniach) złośliwego kodu. Jeśli użytkownik kliknie odpowiednio spreparowany odnośnik do serwisu, wyświetlona strona będzie działać poprawnie, ale w tle zostanie uruchomiony kod, który sprawi, że bez jego wiedzy zostaną wykonane niepożądane operacje.
Opcje te po raz pierwszy znalazły się w przeglądarce Internet Explorer 8. przez wielu użytkowników i ekspertów ds. bezpieczeństwa uważanej za mocno przestarzałą. Pojawiały się też opinie, że IE8 nie ochroni przed atakami typu clickjacking mimo zastosowanego w nim mechanizmu ochronnego.
Podobieństwa i różnice
A. Barth przyznaje w blogu, że filtr XSS przypomina rozwiązanie zastosowane w Internet Explorerze 8. podobnie jak dodatek No-Script dla programu Firefox. Różnica polega na tym, że implementacja tej funkcji w Chrome korzysta z silnika Web-Kit. Filtr jest zintegrowany z tym open-source'owym silnikiem renderującym, wobec czego może przechwytywać skrypty przed ich wykonaniem - zapewnia programista Google.
Pozostałe nowości w zabezpieczeniach Chrome'a 4 to m.in. ochrona przez atakami CSRF (cross-site request forgery), polegającymi przeprowadzeniu operacji z uprawnieniami innego użytkownika. Np. złowroga witryna nakazuje przeglądarce wysłanie do określonego serwera żądania HTTP z określonym poleceniem - jeśli celem jest serwer pocztowy, atak CSRF może polegać na poleceniu przesłania wiadomości e-mail do autora ataku.
Dzięki innej opcji - Strict-Transport-Security - wybrane strony WWW będą informować przeglądarkę, że do wyświetlania ich należy stosować wyłącznie bezpieczne połączenie.
Chrome 4 - stabilnie i z rozszerzeniami
Stabilne wydanie programu Chrome 4 dla Windows ukazało się 2. stycznia. Użytkownicy przeglądarki po raz pierwszy mogą używać rozszerzeń w stabilnej wersji Chrome'a - dotychczas były one dostępne jedynie dla wersji programu udostępnianych w kanale deweloperskim.
Drugą funkcją po raz pierwszy dostępną w stabilnej wersji jest synchronizacja zakładek, umożliwiająca przechowywanie tego samego zestawu zakładek na różnych komputerach. Do ich składowania służą Dokumenty Google. Aby skorzystać z tej funkcji, konieczne jest zalogowanie się na koncie Google.
Z programu usunięto też 1. luk w zabezpieczeniach.
Więcej informacji: Google - http://www.google.com/chrome/