Gazela - bezpieczniejsza przeglądarka

Microsoft prowadzi prace projektowe nad nową przeglądarką intenetową, która ma zapewniać większe bezpieczeństwo niż oferują to Google Chrome, Mozilla Firefox czy własny Internet Explorer.

Przeglądarka, nosząca nazwę "Gazelle", opiera się na 5 tys. wierszy kodu C, tworzących jądro przeglądarki, które pomagają wymuszać reguły bezpieczeństwa zapobiegające szkodliwym interakcjom z systemem operacyjnym maszyny.

Na razie "Gazela" jest prototypem, którego pozostałe elementy opierają się na Internet Explorer. Z powodu skomplikowanej natury przetwarzania zapewniającego większe bezpieczeństwo stron WWW, wydajność tej przeglądarki jest na razie bardziej porównywalna z żółwiem niż z gazelą, ale projektanci mają nadzieję znacznie przyśpieszyć jej działanie.

Zobacz również:

  • Przeglądarka Opera dla urządzeń iOS będzie korzystać z własnego silnika.
  • Najlepsze tegoroczne rozszerzenia przeznaczone dla przeglądarki Chrome
  • Prośba o pilną aktualizację przeglądarki Chrome#

Gazela różni się od pozostałych przeglądarek tym, iż rozpatruje każdy fragment strony WWW - iframe, subframe czy wtyczki - jako oddzielne elementy. Niektóre z tych elementów mogą ściągać złośliwą zawartość z innych miejsc webowych. Przeglądarka Google Chrome uruchamia np. stronę WWW i jej elementy w pojedynczym procesie.

Projektanci Microsoftu są przekonani, że ich podejście zapewnia lepszą niezawodność i wyższe bezpieczeństwo, ponieważ procesy przeglądarki nie mogą współdziałać bezpośrednio z systemem operacyjnym i są obsługiwane drogą wywołań funkcji systemowych wykonywanych przez jądro przeglądarki.

Interesującym mechanizmem Gazeli jest możliwość blokowania ataków "race conditions". W tego typu atakach napastnik tworzy stronę WWW z wyznaczonym obszarem ekranu przeznaczonym do kliknięcia przez użytkownika. Jednak tuż przed przewidywanym kliknieciem użytkownika, ściągana jest nakładka do tej strony, która w ostatniej chwili podmienia zawartość strony w sposób praktycznie niezauważalny przez użytkownika, który kliknie wtedy zupełnie coś innego, niż mu przedstawiono. Gazela ma ignorować wszystkie kliknięcia na nowo eksponowanych obszarach ekranu na ok. jedną sekundę, dopóki użytkownik nie zobaczy nowej treści w tym obszarze ekranu.

Gazela ma także ograniczać niebezpieczeństwo stwarzane przez usterki oprogramowania we wtyczkach do przeglądarek. Wtyczki te (plugins) to małe porcje kodu, które umożliwiają prace innych programów w ramach przeglądarki, ale też często zawierają luki, które pozwalają na przejęcie kontroli nad maszyną. Gazela izoluje wtyczki od reszty systemu używając techniki "sandbox", co powoduje iż błędy wtyczek mogą oddziaływać jedynie na proces przetwarzania poszczególnych stron, ale nie na całą maszynę.

Jednak jednym z większych problemów związanych z takim podejściem stanie się zapewne konieczność przeprogramowania istniejących wtyczek, aby mogły współdziałać z systemem wywołań jądra Gazeli. Jest to dość trudne, ponieważ wtyczki pisane są przez różnych dostawców programowania, których plany projektowe niekoniecznie są zsynchronizowane z projektami przeglądarek.

Inne części nowej przeglądarki, zapożyczone z kodu IE, nie są związane z bezpieczeństwem - na przykład projektanci zakładają, że nie ma konieczności pisania nowego parsera (analizatora składniowego) HTML i można wykorzystać ten z IE7.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200