Chromium: відмінності між версіями

[перевірена версія][перевірена версія]
Вилучено вміст Додано вміст
Виправив помилку
Рядок 30:
 
=== Безпека ===
Згідно заявленим творцями Chromium прагненням створити найбезпечніший браузер, розробники приділяють велику увагу впровадженню нових функцій по захисту браузера. Для забезпечення безпеки в Chromium була обрана модель «[[Sandbox (комп'ютерна безпека)|пісочниці]]», що дозволяла обмежити простір для атаки користувальницького комп'ютера через використану уразливість<ref>{{cite web|url=http://blog.chromium.org/2008/09/security-architecture.html|title=Security Architecture|author=Adam Barth|coauthors=Collin Jackson and Charlie Reis|date=10 вересня 2008 року|publisher=The Chromium Authors/[[Google]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujufQJA|archivedate=2011-08-13}}</ref>. Дослідники Google прийшли до висновку, що майже 70 % загроз «працюють» в рушії відображення, який взаємодіє з ненадійним вмістом. самеСаме тому розробники перевели всю роботу рушія в пісочницю<ref group=~ > На деяких файлових системах, таких як [[FAT32]], використання «пісочниці» неможливо.</ref><ref>{{cite web|url=http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html|title=A new approach to browser security: the Google Chrome Sandbox|author=Nicolas Sylvain|date=2 жовтня 2008|publisher=The Chromium Authors/Google Inc,|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvHMA1|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf|title=The Security Architecture of the Chromium Browser|author=Adam Barth|coauthors=Collin Jackson, Charles Reis|publisher=[[Стенфордський університет]]|language=англійською|accessdate=2011-02-22|archiveurl=http://www.webcitation.org/60ujvt2fe|archivedate=2011-08-13}}</ref>. На більшості операційних систем [[Linux]] цей режим в браузері включений, однак деякі неофіційні збірки Chromium дистрибутива [[Slackware]] відключають режим «пісочниці» примусово. Тим не менш, на офіційно підтримуваних Google Linux-системах, починаючи з версії 23, Chromium використовує можливості ядра для використання додаткових компонентів, таких, як фільтри seccomp-bpf, що дозволяють значно обмежити потенціал використання зловмисником специфічних викликів ядра<ref>{{cite web|url=http://blog.chromium.org/2012/11/a-safer-playground-for-your-linux-and.html|title=A safer playground for your Linux and Chrome OS renderers|author=Julien Tinnes|date=2012-11-19|publisher=Google Inc.|language=англійською|accessdate=2012-11-30|archiveurl=http://www.webcitation.org/6CaZo28rh|archivedate=2012-12-01}}</ref>.
У збірці 66022 розробники перенесли в «пісочницю» (зміна стосується систем під ОС [[Microsoft Windows]]) також виконання модуля, що підключається [[Adobe Flash|Adobe Flash Player]]<ref>{{cite web|url=http://src.chromium.org/viewvc/chrome?view=rev&revision=66022|title=Revision 66022|author=cpu@chromium.org|date=2010|publisher=Chromium Authors|language=англійською|accessdate=2010-11-29|archiveurl=http://www.webcitation.org/60ujwVC2c|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2010/11/15/google-chrome-sandboxes-flash-for-more-secure-browsing/|title=Google Chrome sandboxes Flash for more secure browsing|author=Lee Mathews|date=2010|publisher=AOL Inc.|language=англійською|accessdate=2010-11-29|archiveurl=http://www.webcitation.org/60ujwzz8A|archivedate=2011-08-13}}</ref>, який достатньо часто стає об'єктом пильної уваги хакерів<ref>{{cite web|url=http://secunia.com/advisories/product/20166/?task=statistics|title=Vulnerability Report: Adobe Flash Player 10.x|publisher=Secunia|language=англійською|accessdate=2010-11-29}}</ref>.
У Chromium немає дієвого захисту від [[Міжсайтовий скриптінг|XSS-атак]], але, завдяки тому, що Chromium підтримує HTTP-Only cookies, небезпека міжсайтового скриптинга значно знижується<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Mitigating Cross-site Scripting With HTTP-only Cookies|date=2008 рік|publisher=[[Мережа розробників Майкрософт]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60ujxtZnN|archivedate=2011-08-13}}</ref>. Також активно тестується функція XSS Auditor, впроваджена в списку [[Chromium#Інструменти розробника|експериментальних функцій]] в 7 версії. Цей компонент значно збільшує захист від міжсайтового скриптинга. Вперше XSS Auditor був використаний в 4 версії Chromium<ref>{{cite web|url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|title=Stable Channel Update|author=Anthony Laforge|date=25 січня 2010|publisher=Google|language=англійською|accessdate=2010-10-06|archiveurl=http://www.webcitation.org/60ujykyjY|archivedate=2011-08-13}}</ref>, але у зв'язку з численними помилками та падінням продуктивності у версії 4.1 функція була відключена<ref>{{cite news|url=http://www.securitylab.ru/news/391914.php|title=вийшов Google Chrome 4.1|date=19 березня, 2010|publisher=SecurityLab.ru| language=uage=російською|accessdate=2010-10-06}}</ref>. Проблему з продуктивністю та стабільністю розробникам вдалося вирішити, але функція досі є експериментальною, оскільки не всі сайти здатні з нею працювати<ref name="secxssplug">{{cite news|url=http://news.softpedia.com/news/Chrome-Gets-XSS-Filter-and-Starts-Disabling-Outdated-Plug-Ins-159498.shtml|title=Chrome Gets XSS Filter and Starts Disabling Outdated Plug-Ins|author=Lucian Constantin|date=5 жовтня 2010|publisher=Softpedia| language=uage=англійською|accessdate=2010-10-06}}</ref>. Також в 7 версії Chromium в якості експерименту з'явилася можливість нагляду надза модулями. Браузер отримав можливість пропонувати відключення тих плагінів, які мають незакриті вразливості до тих пір, поки не вийде оновлена ​​версіяверсія модуля з виправленням помилок<ref name="secxssplug"/><ref>{{cite web|url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|title=Future Versions of Chrome to Automatically Disable Outdated Plug-Ins|author=Lucian Constantin|date=2010-06-29|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60ujzJ9NO|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://news.cnet.com/8301-27080_3-20009231-245.html|title=Google to block outdated plug-ins in Chrome|author=Elinor Mills|quote=The company did not provide a timeline for this feature, except to say it will be «medium-term, " in a post Monday on The Chromium Blog.|date=2010-06-29|publisher=[[CBS Corporation{{!}}CNET]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60uk05Y9g|archivedate=2011-08-13}}</ref>, остаточно функція стала доступна в 10 версії браузера<ref>{{cite web|url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|title=Google Chrome 10 Brings Major Security Improvements|author=Lucian Constantin|quote=The new Google Chrome 10.0.648.127 is the first version of the browser to automatically disable outdated plug-ins by default, a feature first announced in June last year.|date=2011-03-08|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=http://www.webcitation.org/60uk0vY0Q|archivedate=2011-08-13}}</ref>.
Для забезпечення криптографічного безпеки при роботі з конфіденційною інформацією користувачів Chromium надає можливість працювати із захищеним протоколом передачі даних ([[HTTPS]]), які можуть упаковуватися згідно з криптографічними протоколами [[SSL|SSL 3.0]] та [[Transport Layer Security|TLS 1.0]]. Для додаткового захисту Chromium може використовувати експериментальний відкритий протокол [[HSTS]], що дозволяє встановлювати з сайтами у форсованому режимі захищене з'єднання <ref>{{cite web|url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|title=Strict Transport Security|author=Jeff Hodges|coauthors=Collin Jackson, Adam Barth|date=18 грудня 2009 року|publisher=[[Консорціум Всесвітньої павутини{{!}}W3C]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk1l1MB|archivedate=2011-08-13}}</ref><ref name="newsec">{{cite web|url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|title=Security in Depth: New Security Features|author=Adam Barth|quote=We've been hard at work adding proactive security features to Google Chrome, and we're particularly excited about five new security features that make it easier for developers to build secure web sites.|date=26 січня 2010 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2LNid|archivedate=2011-08-13}}</ref>.
Частина налаштувань безпеки користувач може регулювати сам. У Chromium вбудований компонент '''Безпечний перегляд''', що забезпечує захист від [[фішинг|фішингу]] та [[Шкідливий програмний засіб|шкідливого ПЗ]]<ref name="gcprivacy">{{cite web|url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|title=Google Chrome and Privacy|publisher=[[Google]]|format=[[PDF]]|language=англійською|accessdate=2011-04-01|archiveurl=http://www.webcitation.org/60uk2ykji|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://blog.chromium.org/2008/11/understanding-phishing-and-malware.html|title=Understanding Phishing and Malware Protection in Google Chrome|author=Ian Fette|date=14 листопада 2008 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk3W8V8|archivedate=2011-08-13}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2011/04/05/google-chrome-and-chromium-add-protection-against-malicious-down/|title=Google Chrome and Chromium add protection against malicious downloads|author=Lee Mathews|quote=If a download link appears in the Safe Browsing blacklist, Chrome and Chromium will warn users against downloading--a save button is still presented, of course, in case you're convinced a file is perfectly safe to download.|date=2011-04-05|publisher=[[AOL{{!}}DownloadSquad]]|language=англійською|accessdate=2011-04-09|archiveurl=http://www.webcitation.org/5xpB5lwIE|archivedate=2011-04-09}}</ref>. Chromium при першому запуску в протягом перших п'яти хвилин завантажує бази визначень шкідливих та шахрайських сайтів, які потім оновлює кожні 30 хвилин, при цьому ніяка особиста інформація в компанію Google не відправляється. Сам компонент може бути відключений в настройках браузера.<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Увімкнути захист від фішингу та шкідливих програм.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=114662|title=Налаштування конфіденційності та безпеки: Налаштування зображень, JavaScript та іншого веб-вмісту|publisher=[[Google]]| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk43LLM|archivedate=2011-08-13}}</ref>. Додатково Chromium дозволяє проводити гнучку настройку змісту веб-сторінок: редагувати політику запуску модулів, що підключаються, використання [[JavaScript]] та <code>cookies</code><ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Налаштування вмісту.</ref>, а також проводити очищення конфіденційних даних за певний період<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Видалити дані веб-перегляду.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?hl=ru&answer=95582|title= Налаштування конфіденційності та безпеки: Видалення кешу і інших даних веб-перегляду|publisher=[[Google]]| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk4kxzu|archivedate=2011-08-13}}</ref>. Серед інших механізмів захисту можна виділити: