福布斯网站发表文章指出,Google新发布的浏览器Chrome使用"沙箱(sandboxing)"技术在网页程序和用户计算机之间砌起一座安全高墙,然而这样的安全墙并不是铜墙铁壁、无懈可击。
另有安全专家指出,Chrome的首个漏洞可能在24小时内被发现。以下为其全文:
安全公司GreenBorder是安全墙的幕后贡献者
07年5月,当安全公司GreenBorder被Google收购后,这个很有前途的创业公司似乎从此消失在人们的视线之外。然而,周二,当 Google发布新浏览器Chrome的时候,人们终于明白这15个月来,这些安全高手们都在忙什么:他们在砌一堵墙,一堵将Chrome和网络病毒隔开的安全之墙。
Chrome的安全策略,也就是GreenBorder所贡献的,是叫"沙箱(sandboxing)"的技术,其策略就是将网页应用访问的内存空间限制在某个小范围内。所以,当某个网页出现错误或者被病毒攻击时,不会导致整个浏览器或者其它程序关闭。可以看出,Google想通过这种方式将最近几个月在网上蔓延的网站病毒有效控制住。
僵尸病毒肆虐 Google用Chrome改进原有防御策略
据Shadowserver Foundation的数据,在过去的一年里,感染Botnet(僵尸网络)病毒的计算机数目成4倍增长。另据SANS Internet Storm Center研究,这主要是由于来自恶意网页的一系列攻击。黑客首先感染数以万计的网页服务器,当用户访问那些网页的时候,就会自动下载黑客的病毒软件,在用户的机器上安装偷取密码的木马病毒或者将用户的机器变成不停发送垃圾邮件的"僵尸"机器。
在Chrome发布前,Google通过标记提醒或者干脆直接过滤掉那些有恶意网页,来保护用户不被感染,因为Google希望看到用户能享受上网浏览快乐,当然也包括对其广告网站的浏览。在Chrome中,Google试图通过在网页应用和用户机器硬件之间砌起一堵墙,来防止携带病毒的网页危害整个计算机。
"我们彻底地将浏览器的每个线程访问计算机的权限加以限制,那些线程能做的就是和浏览器进行沟通。这样可以限制恶意网页带来的破坏程度",Google工程总监Linus Upson说到。
沙箱只是不错的装甲层 安全人员要和黑客比赛堵漏洞
这听起来似乎很安全,但做起来并不是那么容易。"这是个好主意",英国电信首席安全官Bruce Schneier说道,"然而,计算机中访问互联网部分和用来存放财务数据的部分完全不相关,这要做好真不是件容易的事情"。
Java上的一些漏洞就被黑客程序用来打破那些高墙。安全研究人员还发现,就是别的一些虚拟技术,比如VMware也有漏洞可钻,可以打破虚拟界限。
但是,幸运的是,编写那些能越过边界的破坏性病毒也不是件容易的事情,SANS网络安全研究员Johannes Ullrich说道,Chrome的"沙箱"技术可以为互联网提供一层不错的装甲层。但是,Chrome的安全性究竟如何,还要看其代码中被发现的漏洞以及频繁的程度。
"这只是提供了一层防护。但是,一旦有人写了破坏程序,任何人都可以用简单的脚本利用那些破坏程序",Ullrich说到。
这就意味着,安全研究人员要和黑客们比赛谁发现Chrome的缺陷更快。Chrome的用户们只能寄希望于安全专家的步伐更快一些。互联网安全问题权威、White Hat公司首席安全官Jeremiah Grossman预测,第一个漏洞将会在24小时内被发现。
"你可以有你的整个设计理念。但如果你在一行代码中存有疏忽,那就给了黑客可乘之机",Jeremiah说到。
(责任编辑:A6)