O poprawkach w systemie zabezpieczeń Chrome 4 poinformował jeden z inżynierów oprogramowania w Google, Adam Barth, w blogu Chromium. Wśród wymienionych przez niego nowości znajdują się m.in. opcje "X-Frame-Options" i ochrona przez atakami typu XSS.

Pierwsza z funkcji ma zapobiegać zjawisku zwanemu clickjacking. Mianem tym określane są cyber-ataki, w wyniku których internauta klikając przyciski czy łącza na witrynie znanej i uważanej za bezpieczną, inicjuje szkodliwe dla siebie akcje (np. potajemną zmianę ustawień antywirusa czy uruchomienie kamery internetowej).

Zobacz również:

• Prośba o pilną aktualizację przeglądarki Chrome
• Ważna aktualizacja dla Google Chrome - łata lukę zero-day

Druga opcja ma zabezpieczać użytkownika Chrome przed działaniami crackerów używających techniki cross-site scripting. Polega ona na osadzaniu na stronach WWW (przy użyciu znalezionych luk w zabezpieczeniach) złośliwego kodu. Jeśli użytkownik kliknie odpowiednio spreparowany odnośnik do serwisu, wyświetlona strona będzie działać poprawnie, ale w tle zostanie uruchomiony kod, który sprawi, że bez jego wiedzy zostaną wykonane niepożądane operacje.

Opcje te po raz pierwszy znalazły się w przeglądarce Internet Explorer 8, przez wielu użytkowników i ekspertów ds. bezpieczeństwa uważanej za mocno przestarzałą. Pojawiały się też opinie, że IE8 nie ochroni przed atakami typu clickjacking mimo zastosowanego w nim mechanizmu ochronnego.

Podobieństwa i różnice

A. Barth przyznaje w blogu, że filtr XSS przypomina rozwiązanie zastosowane w Internet Explorerze 8, podobnie jak dodatek No-Script dla programu Firefox. Różnica polega na tym, że implementacja tej funkcji w Chrome korzysta z silnika Web-Kit. Filtr jest zintegrowany z tym open-source'owym silnikiem renderującym, wobec czego może przechwytywać skrypty przed ich wykonaniem - zapewnia programista Google.

Pozostałe nowości w zabezpieczeniach Chrome'a 4 to m.in. ochrona przez atakami CSRF (cross-site request forgery), polegającymi przeprowadzeniu operacji z uprawnieniami innego użytkownika. Np. złowroga witryna nakazuje przeglądarce wysłanie do określonego serwera żądania HTTP z określonym poleceniem - jeśli celem jest serwer pocztowy, atak CSRF może polegać na poleceniu przesłania wiadomości e-mail do autora ataku.

Dzięki innej opcji - Strict-Transport-Security - wybrane strony WWW będą informować przeglądarkę, że do wyświetlania ich należy stosować wyłącznie bezpieczne połączenie.

Chrome 4 - stabilnie i z rozszerzeniami

Stabilne wydanie programu Chrome 4 dla Windows ukazało się 25 stycznia. Użytkownicy przeglądarki po raz pierwszy mogą używać rozszerzeń w stabilnej wersji Chrome'a - dotychczas były one dostępne jedynie dla wersji programu udostępnianych w kanale deweloperskim.

Drugą funkcją po raz pierwszy dostępną w stabilnej wersji jest synchronizacja zakładek, umożliwiająca przechowywanie tego samego zestawu zakładek na różnych komputerach. Do ich składowania służą Dokumenty Google. Aby skorzystać z tej funkcji, konieczne jest zalogowanie się na koncie Google.

Z programu usunięto też 13 luk w zabezpieczeniach.

Więcej informacji: Google