谷歌Chrome沙盒技术成为浏览器安全标准

著名的安全专家Dino Dai Zovi称,所有的浏览器开发商都应当借鉴Google Chrome的安全标准,隔离来自其他操作系统的不可信任数据。

Dino Dai Zovi,一位著名的安全专家,流行读物《黑客老兄的手册》的合著者,认为未来的安全必定会依赖于"沙盒",将应用进程同其他的应用、操作系统和用户数据库分离的实践技术。

在卡巴斯基周三的威胁发布博客上Dai Zovi将沙盒描述成和"权限降低"同等的较少的技术,可以将不信任数据从用户数据转移到它所属于的地方。

沙盒技术的设计理念是加大恶意软件入侵电脑的难度。即使攻击者能够利用浏览器漏洞执行恶意软件,仍然需要利用沙盒技术的其他漏洞来侵入操作系统,才可能获得用户的数据。

"沙盒技术显著加大黑客入侵的障碍,攻击者将不得不改变其攻击方式,例如流氓杀毒软件。"Dai Zovi在一个电话采访中表示。

Dai Zovi认为网络攻击愈演愈烈要求浏览器采用沙盒技术。"它是至关重要,因为在我看来,浏览器将来会变成了操作系统。谷歌是第一个意识到浏览器能成为操作系统,Chrome实现了这种构想,改写浏览器历史。"

自2008年9月Chrome首次露面即公布了沙盒技术。而Dai Zovi认为沙盒非常容易成为浏览器安全的领导技术是因为其他的浏览器已经或者将要尝试降低浏览器用户风险。

例如,Vista和Windows 7系统的IE7和IE8都有一个被称为"保护模式"的安全功能,降低应用程序的权限,攻击者因此很难编写、篡改和破坏计算机中的用户数据,或者安装恶意软件。但是,"保护模式"并不是真正的沙盒设计。

目前,Mozilla的Firefox,苹果的Safari和Opera都不具备沙盒技术和降低权限安全功能。Dai Zovi说:"苹果已经在雪豹系统中融入了一些沙盒技术,安全专家们希望苹果在Safari浏览器中使用这项技术,但是目前还没有采用。"

Mozilla正在开发类似Chrome沙盒的Firefox安全功能,该功能被称为"Electrolysis"。 Mozilla预计在Firefox 4.0中加入这项新的功能,但Firefox 4.0预计在2010年底或2011年初才能发布。

Dai Zovi认为沙盒技术是把用户从浏览器攻击洪流中拯救出来的方舟。尽管这项技术不能堪称完美,但这是我们应该努力的方向。漏洞补丁方法显然已经不适用。我们永远都无法赢得这种无休止的补丁竞赛。沙盒技术,至少能够浏览器影响操作系统的能力,增加了更多的深度防范,可以去阻止大多数的攻击。