Chrome已成瀏覽器安全標準

新聞來源:華軍資訊
據國外媒體報導，金融服務行業的獨立安全專家，兼《The Mac Hackers Handbook》的作者迪諾·佐威（Dino Dai Zovi）今天表示，所有瀏覽器開發商都應該向谷歌Chrome瀏覽器學習。佐威相信，未來作業系統和使用者資料的安全將主要依賴“沙盒”，這種設計可以獨立應用程式的處理程式。

[@more@]

在卡巴斯基實驗室的ThreatPost部落格中，佐威稱，沙盒設計 “可以將公牛（不信任資料）從陶瓷店（使用者資料）轉移到它所屬於的地方”。

沙盒設計將加大惡意軟體入侵電腦的難度。即使攻擊者能夠利用瀏覽器漏洞並執行惡意軟體，他仍需要利用沙盒技術存在的漏洞才能入侵作業系統，以及取得使用者資料。

佐威在接受採訪時表示：“沙盒技術顯著地提高了安全標準，攻擊者將不得不改變其攻擊方式，例如流氓防毒軟體。”

佐威認為, Web攻擊的加劇要求瀏覽器採取沙盒技術。瀏覽器將成為作業系統。自2008年9月份釋出，Chrome瀏覽器就融入了沙盒技術。谷歌首先實現了這種構想，Chrome將改寫瀏覽器的歷史。

Vista和Windows 7系統的IE7和IE8都有一個被稱為“保護模式”的安全功能，它可以降低應用程式的許可權，攻擊者因此很難編寫、篡改和破壞計算機中的使用者資料，或者安裝惡意軟體。但是，“保護模式”並不是真正的沙盒設計。

目前，Firefox，Safari和Opera都不具備沙盒技術和降低許可權安全功能。蘋果已經在雪豹系統中融入了一些沙盒技術，安全專家們卻希望蘋果在Safari瀏覽器中使用這項技術。

Mozilla正在開發類似Chrome沙盒的Firefox安全功能，該功能被稱為“Electrolysis”。 Mozilla預計在Firefox 4.0中加入這項新的功能，但Firefox 4.0預計在2010年底或2011年初才能釋出。

佐威表示，儘管這項技術不能堪稱完美，但這是我們應該努力的方向。漏洞補丁方法顯然已經不適用。我們永遠都無法贏得這種無休止的補丁競賽。