Chromium: відмінності між версіями
[неперевірена версія] | [неперевірена версія] |
Вилучено вміст Додано вміст
м Бот: Автоматизована заміна тексту: (-lang=en +language=англійською); косметичні зміни |
м Бот: Автоматизована заміна тексту: (-\|\s*lang\s*=\s*rus? +| language=російською) |
||
Рядок 27:
=== Швидкість ===
Поставивши своєю метою розробити швидкий браузер, розробники вирішили використовувати [[Open source|відкриті]] компоненти. Рушієм відображення веб-сторінок був обраний [[вільне програмне забезпечення|вільний]] [[WebKit]]. Він забезпечував необхідну швидкість рендеринга, маючи при цьому ряд інших переваг<ref>{{cite web|url=http://blog.chromium.org/2008/09/chrome-3s-webkit.html|title=Chrome <3s WebKit|author=Darin Fisher|date=5 вересня 2008|publisher=Google Inc.|description=Пояснення вибору в бользу WebKit|language=англійською|accessdate=2011-01-29|archiveurl=http://www.webcitation.org/60uf6CxJI|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://www.dalvo.ru/articles.php?ds=245|title=WebKit-невідома величина|author=C'T|date=2009-09-03|publisher=Далекий Схід|
=== Безпека ===
Рядок 33:
Згідно заявленим творцями Chromium прагненням створити найбезпечніший браузер, розробники приділяють велику увагу впровадженню нових функцій по захисту браузера. Для забезпечення безпеки в Chromium була обрана модель «[[Sandbox (комп'ютерна безпека)|пісочниці]]», що дозволяла обмежити простір для атаки користувальницького комп'ютера через використану уразливість<ref>{{cite web|url=http://blog.chromium.org/2008/09/security-architecture.html|title=Security Architecture|author=Adam Barth|coauthors=Collin Jackson and Charlie Reis|date=10 вересня 2008 року|publisher=The Chromium Authors/[[Google]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujufQJA|archivedate=2011-08-13}}</ref>. Дослідники Google прийшли до висновку, що майже 70 % загроз «працюють» в рушії відображення, який взаємодіє з ненадійним вмістом. саме тому розробники перевели всю роботу рушія в пісочницю<ref group=~ > На деяких файлових системах, таких як [[FAT32]], використання «пісочниці» неможливо.</ref><ref>{{cite web|url=http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html|title=A new approach to browser security: the Google Chrome Sandbox|author=Nicolas Sylvain|date=2 жовтня 2008|publisher=The Chromium Authors/Google Inc,|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvHMA1|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf|title=The Security Architecture of the Chromium Browser|author=Adam Barth|coauthors=Collin Jackson, Charles Reis|publisher=[[Стенфордський університет]]|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvt2fe|archivedate=2011-08-13}}</ref>. На більшості операційних систем [[Linux]] цей режим в браузері включений, однак деякі неофіційні збірки Chromium дистрибутива [[Slackware]] відключають режим «пісочниці» примусово<ref name=chrvsgc/>. Тим не менш, на офіційно підтримуваних Google Linux-системах, починаючи з версії 23, Chromium використовує можливості ядра для використання додаткових компонентів, таких, як фільтри seccomp-bpf, що дозволяють значно обмежити потенціал використання зловмисником специфічних викликів ядра<ref>{{cite web|url=http://blog.chromium.org/2012/11/a-safer-playground-for-your-linux-and.html|title=A safer playground for your Linux and Chrome OS renderers|author=Julien Tinnes|date=2012-11-19|publisher=Google Inc.|language=англійською|accessdate=2012-11-30|archiveurl=http://www.webcitation.org/6CaZo28rh|archivedate=2012-12-01}}</ref>.
У збірці 66022 розробники перенесли в «пісочницю» (зміна стосується систем під ОС [[Microsoft Windows]]) також виконання модуля, що підключається [[Adobe Flash|Adobe Flash Player]]<ref>{{cite web|url=http://src.chromium.org/viewvc/chrome?view=rev&revision=66022|title=Revision 66022|author=cpu@chromium.org|date=2010|publisher=Chromium Authors|description=Enable sandboxed flash on windows by default.|language=англійською|accessdate=2010-11-29|archiveurl=http://www.webcitation.org/60ujwVC2c|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2010/11/15/google-chrome-sandboxes-flash-for-more-secure-browsing/|title=Google Chrome sandboxes Flash for more secure browsing|author=Lee Mathews|date=2010|publisher=AOL Inc.|language=англійською|accessdate=2010-11-29|archiveurl=http://www.webcitation.org/60ujwzz8A|archivedate=2011-08-13}}</ref>, який достатньо часто стає об'єктом пильної уваги хакерів<ref>{{cite web|url=http://secunia.com/advisories/product/20166/?task=statistics|title=Vulnerability Report: Adobe Flash Player 10.x|publisher=Secunia|description=This vulnerability report for Adobe Flash Player 10.x contains a complete overview of all Secunia advisories affecting it.|language=англійською|accessdate=2010-11-29}}</ref>.
У Chromium немає дієвого захисту від [[Міжсайтовий скриптінг|XSS-атак]], але, завдяки тому, що Chromium підтримує HTTP-Only cookies, небезпека міжсайтового скриптинга значно знижується<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Mitigating Cross-site Scripting With HTTP-only Cookies|date=2008 рік|publisher=[[Мережа розробників Майкрософт]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujxtZnN|archivedate=2011-08-13}}</ref>. Також активно тестується функція XSS Auditor, впроваджена в списку [[Chromium#Інструменти розробника|експериментальних функцій]] в 7 версії. Цей компонент значно збільшує захист від міжсайтового скриптинга. Вперше XSS Auditor був використаний в 4 версії Chromium<ref>{{cite web|url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|title=Stable Channel Update|author=Anthony Laforge|date=25 січня 2010|publisher=Google|language=англійською|accessdate=2010-10-06|archiveurl=http://www.webcitation.org/60ujykyjY|archivedate=2011-08-13}}</ref>, але у зв'язку з численними помилками та падінням продуктивності у версії 4.1 функція була відключена<ref>{{cite news|url=http://www.securitylab.ru/news/391914.php|title=вийшов Google Chrome 4.1|date=19 березня, 2010|publisher=SecurityLab.ru|
Для забезпечення криптографічного безпеки при роботі з конфіденційною інформацією користувачів Chromium надає можливість працювати із захищеним протоколом передачі даних ([[HTTPS]]), які можуть упаковуватися у відповідності з криптографічними протоколами [[SSL|SSL 3.0]] та [[Transport Layer Security|TLS 1.0]]. Для додаткового захисту Chromium може використовувати експериментальний відкритий протокол [[HSTS]], що дозволяє встановлювати з сайтами у форсованому режимі захищене з'єднання <ref>{{cite web|url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|title=Strict Transport Security|author=Jeff Hodges|coauthors=Collin Jackson, Adam Barth|date=18 грудня 2009 року|publisher=[[Консорціум Всесвітньої павутини{{!}}W3C]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk1l1MB|archivedate=2011-08-13}}</ref><ref name="newsec">{{cite web|url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|title=Security in Depth: New Security Features|author=Adam Barth|quote=We've been hard at work adding proactive security features to Google Chrome, and we're particularly excited about five new security features that make it easier for developers to build secure web sites.|date=26 січня 2010 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2LNid|archivedate=2011-08-13}}</ref>.
Частина налаштувань безпеки користувач може регулювати сам. У Chromium вбудований компонент '''Безпечний перегляд''', що забезпечує захист від [[фішинг|фішингу]] та [[Шкідливий програмний засіб|шкідливого ПЗ]]<ref name="gcprivacy">{{cite web|url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|title=Google Chrome and Privacy|publisher=[[Google]]|format=[[PDF]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2ykji|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://blog.chromium.org/2008/11/understanding-phishing-and-malware.html|title=Understanding Phishing and Malware Protection in Google Chrome|author=Ian Fette|date=14 листопада 2008 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk3W8V8|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2011/04/05/google-chrome-and-chromium-add-protection-against-malicious-down/|title=Google Chrome and Chromium add protection against malicious downloads|author=Lee Mathews|quote=If a download link appears in the Safe Browsing blacklist, Chrome and Chromium will warn users against downloading--a save button is still presented, of course, in case you're convinced a file is perfectly safe to download.|date=2011-04-05|publisher=[[AOL{{!}}DownloadSquad]]|language=англійською|accessdate=2011-04-09|archiveurl=http://www.webcitation.org/5xpB5lwIE|archivedate=2011-04-09}}</ref>. Chromium при першому запуску в протягом перших п'яти хвилин завантажує бази визначень шкідливих та шахрайських сайтів, які потім оновлює кожні 30 хвилин, при цьому ніяка особиста інформація в компанію Google не відправляється. Сам компонент може бути відключений в настройках браузера.<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Увімкнути захист від фішингу та шкідливих програм.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=114662|title=Налаштування конфіденційності та безпеки: Налаштування зображень, JavaScript та іншого веб-вмісту|publisher=[[Google]]|
* Специфікація [[HTML5]] у вигляді <code>Origin Header</code> забезпечує захист від [[Підробка міжсайтових запитів|підробки міжсайтових запитів]] (CSRF) <ref name=newsec />, блокуючи неправильні запити сайтів.
* Chromium підтримує X-Frame-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|title=IE8 Security Part VII: ClickJacking Defenses|author=Eric Lawrence|date=27 січня 2009|publisher=MSDN|description=Опис можливостей X-Frame-Options|language=англійською|accessdate=2010-12-05|archiveurl=http://www.webcitation.org/60uk5MMZR|archivedate=2011-08-13}}</ref>, що захищає браузер від [[Клікджекінг|клікджекінга]], а також X-Content-Type-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx|title=IE8 Security Part V: Comprehensive Protection|author=Eric Lawrence|date=2 липня 2008|publisher=MSDN|description=Опис можливостей X-Content-Type-Options API|language=англійською|accessdate=2010-12-05|archiveurl=http://www.webcitation.org/60uk6efb5|archivedate=2011-08-13}}</ref>, що надає браузеру можливість захищатися від [[MIME]]-сніффінга<ref group=~>{{cite web|url=http://adblockplus.org/blog/the-hazards-of-mime-sniffing|title=The hazards of MIME sniffing|author=Wladimir Palant|date=2007-04-29|publisher=Офіційний блог AdBlock+|description=Опис небезпеки MIME-сніффінга|language=англійською|accessdate=2010-12-05|archiveurl=http://www.webcitation.org/60uk7ttGz|archivedate=2011-08-13}}</ref>.
* Chromium підтримує «режим інкогніто», при якому історія відвідувань та завантажень не записується в журнали, а файли <code>cookies</code> видаляються після закриття браузера<ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=95464&hl=ru|title=Вкладки, вікна та сторінки: Режим інкогніто (прихований перегляд)|publisher=Google Inc.|
При цьому [[Google]] закликає користувачів при знаходженні вразливостей в браузере повідомляти про них розробникам, натомість отримуючи грошові винагороди<ref>{{cite web|url=http://www.conceivablytech.com/1903/products/mozilla-and-google-take-security-bounties-to-the-battlefield|title=Mozilla And Google Take Security Bounties To The Battlefield|author=Wolfgang Gruener|date=2010-07-21|publisher=ConceivablyTech|language=англійською|accessdate=2011-04-04|archiveurl=http://www.webcitation.org/5xhjLfAgh|archivedate=2011-04-04}}</ref>.
|