Chromium: відмінності між версіями
[неперевірена версія] | [неперевірена версія] |
Вилучено вміст Додано вміст
м Бот: Автоматизована заміна тексту: (-\|\s*lang\s*=\s*rus? +| language=російською) |
м Бот: Автоматизована заміна тексту: (-(\{\{cite web[^\}]*)\|\s*description\s*=[^\|\}]* +\1) |
||
Рядок 27:
=== Швидкість ===
Поставивши своєю метою розробити швидкий браузер, розробники вирішили використовувати [[Open source|відкриті]] компоненти. Рушієм відображення веб-сторінок був обраний [[вільне програмне забезпечення|вільний]] [[WebKit]]. Він забезпечував необхідну швидкість рендеринга, маючи при цьому ряд інших переваг<ref>{{cite web|url=http://blog.chromium.org/2008/09/chrome-3s-webkit.html|title=Chrome <3s WebKit|author=Darin Fisher|date=5 вересня 2008|publisher=Google Inc.
=== Безпека ===
[[Файл:Chromiumantimalware.JPG|300px|thumb|left|Safe Browsing в дії.]]
Згідно заявленим творцями Chromium прагненням створити найбезпечніший браузер, розробники приділяють велику увагу впровадженню нових функцій по захисту браузера. Для забезпечення безпеки в Chromium була обрана модель «[[Sandbox (комп'ютерна безпека)|пісочниці]]», що дозволяла обмежити простір для атаки користувальницького комп'ютера через використану уразливість<ref>{{cite web|url=http://blog.chromium.org/2008/09/security-architecture.html|title=Security Architecture|author=Adam Barth|coauthors=Collin Jackson and Charlie Reis|date=10 вересня 2008 року|publisher=The Chromium Authors/[[Google]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujufQJA|archivedate=2011-08-13}}</ref>. Дослідники Google прийшли до висновку, що майже 70 % загроз «працюють» в рушії відображення, який взаємодіє з ненадійним вмістом. саме тому розробники перевели всю роботу рушія в пісочницю<ref group=~ > На деяких файлових системах, таких як [[FAT32]], використання «пісочниці» неможливо.</ref><ref>{{cite web|url=http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html|title=A new approach to browser security: the Google Chrome Sandbox|author=Nicolas Sylvain|date=2 жовтня 2008|publisher=The Chromium Authors/Google Inc,|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvHMA1|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf|title=The Security Architecture of the Chromium Browser|author=Adam Barth|coauthors=Collin Jackson, Charles Reis|publisher=[[Стенфордський університет]]|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvt2fe|archivedate=2011-08-13}}</ref>. На більшості операційних систем [[Linux]] цей режим в браузері включений, однак деякі неофіційні збірки Chromium дистрибутива [[Slackware]] відключають режим «пісочниці» примусово<ref name=chrvsgc/>. Тим не менш, на офіційно підтримуваних Google Linux-системах, починаючи з версії 23, Chromium використовує можливості ядра для використання додаткових компонентів, таких, як фільтри seccomp-bpf, що дозволяють значно обмежити потенціал використання зловмисником специфічних викликів ядра<ref>{{cite web|url=http://blog.chromium.org/2012/11/a-safer-playground-for-your-linux-and.html|title=A safer playground for your Linux and Chrome OS renderers|author=Julien Tinnes|date=2012-11-19|publisher=Google Inc.|language=англійською|accessdate=2012-11-30|archiveurl=http://www.webcitation.org/6CaZo28rh|archivedate=2012-12-01}}</ref>.
У збірці 66022 розробники перенесли в «пісочницю» (зміна стосується систем під ОС [[Microsoft Windows]]) також виконання модуля, що підключається [[Adobe Flash|Adobe Flash Player]]<ref>{{cite web|url=http://src.chromium.org/viewvc/chrome?view=rev&revision=66022|title=Revision 66022|author=cpu@chromium.org|date=2010|publisher=Chromium Authors
У Chromium немає дієвого захисту від [[Міжсайтовий скриптінг|XSS-атак]], але, завдяки тому, що Chromium підтримує HTTP-Only cookies, небезпека міжсайтового скриптинга значно знижується<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Mitigating Cross-site Scripting With HTTP-only Cookies|date=2008 рік|publisher=[[Мережа розробників Майкрософт]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujxtZnN|archivedate=2011-08-13}}</ref>. Також активно тестується функція XSS Auditor, впроваджена в списку [[Chromium#Інструменти розробника|експериментальних функцій]] в 7 версії. Цей компонент значно збільшує захист від міжсайтового скриптинга. Вперше XSS Auditor був використаний в 4 версії Chromium<ref>{{cite web|url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|title=Stable Channel Update|author=Anthony Laforge|date=25 січня 2010|publisher=Google|language=англійською|accessdate=2010-10-06|archiveurl=http://www.webcitation.org/60ujykyjY|archivedate=2011-08-13}}</ref>, але у зв'язку з численними помилками та падінням продуктивності у версії 4.1 функція була відключена<ref>{{cite news|url=http://www.securitylab.ru/news/391914.php|title=вийшов Google Chrome 4.1|date=19 березня, 2010|publisher=SecurityLab.ru| language=російською|accessdate=2010-10-06}}</ref>. Проблему з продуктивністю та стабільністю розробникам вдалося вирішити, але функція досі є експериментальною, оскільки не всі сайти здатні з нею працювати<ref name="secxssplug">{{cite news|url=http://news.softpedia.com/news/Chrome-Gets-XSS-Filter-and-Starts-Disabling-Outdated-Plug-Ins-159498.shtml|title=Chrome Gets XSS Filter and Starts Disabling Outdated Plug-Ins|author=Lucian Constantin|date=5 жовтня 2010|publisher=Softpedia|language=англійською|accessdate=2010-10-06}}</ref>. Також в 7 версії Chromium в якості експерименту з'явилася можливість нагляду над модулями. Браузер отримав можливість пропонувати відключення тих плагінів, які мають незакриті вразливості до тих пір, поки не вийде оновлена версія модуля з виправленням помилок<ref name="secxssplug"/><ref>{{cite web|url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|title=Future Versions of Chrome to Automatically Disable Outdated Plug-Ins|author=Lucian Constantin|date=2010-06-29|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60ujzJ9NO|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://news.cnet.com/8301-27080_3-20009231-245.html|title=Google to block outdated plug-ins in Chrome|author=Elinor Mills|quote=The company did not provide a timeline for this feature, except to say it will be «medium-term, " in a post Monday on The Chromium Blog.|date=2010-06-29|publisher=[[CBS Corporation{{!}}CNET]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60uk05Y9g|archivedate=2011-08-13}}</ref>, остаточно функція стала доступна в 10 версії браузера<ref>{{cite web|url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|title=Google Chrome 10 Brings Major Security Improvements|author=Lucian Constantin|quote=The new Google Chrome 10.0.648.127 is the first version of the browser to automatically disable outdated plug-ins by default, a feature first announced in June last year.|date=2011-03-08|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60uk0vY0Q|archivedate=2011-08-13}}</ref>.
Для забезпечення криптографічного безпеки при роботі з конфіденційною інформацією користувачів Chromium надає можливість працювати із захищеним протоколом передачі даних ([[HTTPS]]), які можуть упаковуватися у відповідності з криптографічними протоколами [[SSL|SSL 3.0]] та [[Transport Layer Security|TLS 1.0]]. Для додаткового захисту Chromium може використовувати експериментальний відкритий протокол [[HSTS]], що дозволяє встановлювати з сайтами у форсованому режимі захищене з'єднання <ref>{{cite web|url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|title=Strict Transport Security|author=Jeff Hodges|coauthors=Collin Jackson, Adam Barth|date=18 грудня 2009 року|publisher=[[Консорціум Всесвітньої павутини{{!}}W3C]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk1l1MB|archivedate=2011-08-13}}</ref><ref name="newsec">{{cite web|url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|title=Security in Depth: New Security Features|author=Adam Barth|quote=We've been hard at work adding proactive security features to Google Chrome, and we're particularly excited about five new security features that make it easier for developers to build secure web sites.|date=26 січня 2010 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2LNid|archivedate=2011-08-13}}</ref>.
Частина налаштувань безпеки користувач може регулювати сам. У Chromium вбудований компонент '''Безпечний перегляд''', що забезпечує захист від [[фішинг|фішингу]] та [[Шкідливий програмний засіб|шкідливого ПЗ]]<ref name="gcprivacy">{{cite web|url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|title=Google Chrome and Privacy|publisher=[[Google]]|format=[[PDF]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2ykji|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://blog.chromium.org/2008/11/understanding-phishing-and-malware.html|title=Understanding Phishing and Malware Protection in Google Chrome|author=Ian Fette|date=14 листопада 2008 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk3W8V8|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2011/04/05/google-chrome-and-chromium-add-protection-against-malicious-down/|title=Google Chrome and Chromium add protection against malicious downloads|author=Lee Mathews|quote=If a download link appears in the Safe Browsing blacklist, Chrome and Chromium will warn users against downloading--a save button is still presented, of course, in case you're convinced a file is perfectly safe to download.|date=2011-04-05|publisher=[[AOL{{!}}DownloadSquad]]|language=англійською|accessdate=2011-04-09|archiveurl=http://www.webcitation.org/5xpB5lwIE|archivedate=2011-04-09}}</ref>. Chromium при першому запуску в протягом перших п'яти хвилин завантажує бази визначень шкідливих та шахрайських сайтів, які потім оновлює кожні 30 хвилин, при цьому ніяка особиста інформація в компанію Google не відправляється. Сам компонент може бути відключений в настройках браузера.<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Увімкнути захист від фішингу та шкідливих програм.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=114662|title=Налаштування конфіденційності та безпеки: Налаштування зображень, JavaScript та іншого веб-вмісту|publisher=[[Google]]| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk43LLM|archivedate=2011-08-13}}</ref>. Додатково Chromium дозволяє проводити гнучку настройку змісту веб-сторінок: редагувати політику запуску модулів, що підключаються, використання [[JavaScript]] та <code>cookies</code><ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Налаштування вмісту.</ref>, а також проводити очищення конфіденційних даних за певний період<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Видалити дані веб-перегляду.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?hl=ru&answer=95582|title= Налаштування конфіденційності та безпеки: Видалення кешу і інших даних веб-перегляду|publisher=[[Google]]| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk4kxzu|archivedate=2011-08-13}}</ref>. Серед інших механізмів захисту можна виділити:
* Специфікація [[HTML5]] у вигляді <code>Origin Header</code> забезпечує захист від [[Підробка міжсайтових запитів|підробки міжсайтових запитів]] (CSRF) <ref name=newsec />, блокуючи неправильні запити сайтів.
* Chromium підтримує X-Frame-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|title=IE8 Security Part VII: ClickJacking Defenses|author=Eric Lawrence|date=27 січня 2009|publisher=MSDN
* Chromium підтримує «режим інкогніто», при якому історія відвідувань та завантажень не записується в журнали, а файли <code>cookies</code> видаляються після закриття браузера<ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=95464&hl=ru|title=Вкладки, вікна та сторінки: Режим інкогніто (прихований перегляд)|publisher=Google Inc.| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk8X32U|archivedate=2011-08-13}}</ref>.
При цьому [[Google]] закликає користувачів при знаходженні вразливостей в браузере повідомляти про них розробникам, натомість отримуючи грошові винагороди<ref>{{cite web|url=http://www.conceivablytech.com/1903/products/mozilla-and-google-take-security-bounties-to-the-battlefield|title=Mozilla And Google Take Security Bounties To The Battlefield|author=Wolfgang Gruener|date=2010-07-21|publisher=ConceivablyTech|language=англійською|accessdate=2011-04-04|archiveurl=http://www.webcitation.org/5xhjLfAgh|archivedate=2011-04-04}}</ref>.
|