Вікіпедія

Chromium: відмінності між версіями

Інтерактивний перегляд історії
[неперевірена версія][перевірена версія]
← Попереднє редагуванняНаступне редагування →
Вилучено вміст Додано вміст
ВізуальнийВікірозмітка
Виправлено джерел: 1; позначено як недійсні: 0. #IABot (v2.0beta14)
Виправлено джерел: 1; позначено як недійсні: 0. #IABot (v2.0beta15)
Рядок 34:
У Chromium немає дієвого захисту від [[Міжсайтовий скриптінг|XSS-атак]], але, завдяки тому, що Chromium підтримує HTTP-Only cookies, небезпека міжсайтового скриптинга значно знижується<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Mitigating Cross-site Scripting With HTTP-only Cookies|date=2008 рік|publisher=[[Мережа розробників Майкрософт]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60ujxtZnN?url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|archivedate=2011-08-13|deadurl=no}}</ref>. Також активно тестується функція XSS Auditor, впроваджена в списку [[Chromium#Інструменти розробника|експериментальних функцій]] в 7 версії. Цей компонент значно збільшує захист від міжсайтового скриптинга. Вперше XSS Auditor був використаний в 4 версії Chromium<ref>{{cite web|url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|title=Stable Channel Update|author=Anthony Laforge|date=25 січня 2010|publisher=Google|language=англійською|accessdate=2010-10-06|archiveurl=https://www.webcitation.org/60ujykyjY?url=http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html|archivedate=2011-08-13|deadurl=no}}</ref>, але у зв'язку з численними помилками та падінням продуктивності у версії 4.1 функція була відключена<ref>{{cite news|url=http://www.securitylab.ru/news/391914.php|title=вийшов Google Chrome 4.1|date=19 березня, 2010|publisher=SecurityLab.ru| language=uage=російською|accessdate=2010-10-06}}</ref>. Проблему з продуктивністю та стабільністю розробникам вдалося вирішити, але функція досі є експериментальною, оскільки не всі сайти здатні з нею працювати<ref name="secxssplug">{{cite news|url=http://news.softpedia.com/news/Chrome-Gets-XSS-Filter-and-Starts-Disabling-Outdated-Plug-Ins-159498.shtml|title=Chrome Gets XSS Filter and Starts Disabling Outdated Plug-Ins|author=Lucian Constantin|date=5 жовтня 2010|publisher=Softpedia| language=uage=англійською|accessdate=2010-10-06}}</ref>. Також в 7 версії Chromium як експеримент з'явилася можливість нагляду за модулями. Браузер отримав можливість пропонувати відключення тих плагінів, які мають незакриті вразливості до тих пір, поки не вийде оновлена версія модуля з виправленням помилок<ref name="secxssplug"/><ref>{{cite web|url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|title=Future Versions of Chrome to Automatically Disable Outdated Plug-Ins|author=Lucian Constantin|date=2010-06-29|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60ujzJ9NO?url=http://news.softpedia.com/news/Future-Versions-of-Chrome-to-Automatically-Disable-Outdated-Plug-Ins-145725.shtml|archivedate=2011-08-13|deadurl=no}}</ref><ref>{{cite web|url=http://news.cnet.com/8301-27080_3-20009231-245.html|title=Google to block outdated plug-ins in Chrome|author=Elinor Mills|quote=The company did not provide a timeline for this feature, except to say it will be «medium-term, " in a post Monday on The Chromium Blog.|date=2010-06-29|publisher=[[CBS Corporation|CNET]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60uk05Y9g?url=http://news.cnet.com/8301-27080_3-20009231-245.html|archivedate=2011-08-13|deadurl=no}}</ref>, остаточно функція стала доступна в 10 версії браузера<ref>{{cite web|url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|title=Google Chrome 10 Brings Major Security Improvements|author=Lucian Constantin|quote=The new Google Chrome 10.0.648.127 is the first version of the browser to automatically disable outdated plug-ins by default, a feature first announced in June last year.|date=2011-03-08|publisher=[[Softpedia]]|language=англійською|accessdate=2011-04-05|archiveurl=https://www.webcitation.org/60uk0vY0Q?url=http://news.softpedia.com/news/Google-Chrome-10-Lands-with-Major-Security-Improvements-188372.shtml|archivedate=2011-08-13|deadurl=no}}</ref>.
Для забезпечення криптографічної безпеки при роботі з конфіденційною інформацією користувачів Chromium надає можливість працювати із захищеним протоколом передачі даних ([[HTTPS]]), які можуть упаковуватися згідно з криптографічними протоколами [[SSL|SSL 3.0]] та [[Transport Layer Security|TLS 1.0]]. Для додаткового захисту Chromium може використовувати експериментальний відкритий протокол [[HSTS]], що дозволяє встановлювати з сайтами у форсованому режимі захищене з'єднання <ref>{{cite web|url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|title=Strict Transport Security|author=Jeff Hodges|coauthors=Collin Jackson, Adam Barth|date=18 грудня 2009 року|publisher=[[Консорціум Всесвітньої павутини|W3C]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk1l1MB?url=http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html|archivedate=2011-08-13|deadurl=no}}</ref><ref name="newsec">{{cite web|url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|title=Security in Depth: New Security Features|author=Adam Barth|quote=We've been hard at work adding proactive security features to Google Chrome, and we're particularly excited about five new security features that make it easier for developers to build secure web sites.|date=26 січня 2010 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk2LNid?url=http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html|archivedate=2011-08-13|deadurl=no}}</ref>.
Частину налаштувань безпеки користувач може регулювати сам. У Chromium вбудований компонент '''Безпечний перегляд''', що забезпечує захист від [[фішинг|фішингу]] та [[Шкідливий програмний засіб|шкідливого ПЗ]]<ref name="gcprivacy">{{cite web|url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|title=Google Chrome and Privacy|publisher=[[Google]]|format=[[PDF]]|language=англійською|accessdate=2011-04-01|archiveurl=https://www.webcitation.org/60uk2ykji?url=http://static.googleusercontent.com/external_content/untrusted_dlcp/www.google.com/en//intl/en/landing/chrome/google-chrome-privacy-whitepaper.pdf|archivedate=2011-08-13|deadurl=noyes}}</ref><ref>{{cite web|url=http://blog.chromium.org/2008/11/understanding-phishing-and-malware.html|title=Understanding Phishing and Malware Protection in Google Chrome|author=Ian Fette|date=14 листопада 2008 року|publisher=The Chromium Authors|language=англійською|accessdate=2011-04-02|archiveurl=https://www.webcitation.org/60uk3W8V8?url=http://blog.chromium.org/2008/11/understanding-phishing-and-malware.html|archivedate=2011-08-13|deadurl=no}}</ref><ref>{{cite web|url=http://downloadsquad.switched.com/2011/04/05/google-chrome-and-chromium-add-protection-against-malicious-down/|title=Google Chrome and Chromium add protection against malicious downloads|author=Lee Mathews|quote=If a download link appears in the Safe Browsing blacklist, Chrome and Chromium will warn users against downloading--a save button is still presented, of course, in case you're convinced a file is perfectly safe to download.|date=2011-04-05|publisher=[[AOL|DownloadSquad]]|language=англійською|accessdate=2011-04-09|archiveurl=https://www.webcitation.org/5xpB5lwIE?url=http://downloadsquad.switched.com/2011/04/05/google-chrome-and-chromium-add-protection-against-malicious-down/|archivedate=2011-04-09|deadurl=yes}}</ref>. Chromium при першому запуску протягом перших п'яти хвилин завантажує бази визначень шкідливих та шахрайських сайтів, які потім оновлює кожні 30 хвилин, при цьому ніяка особиста інформація в компанію Google не відправляється. Сам компонент може бути відключений в налаштуваннях браузера.<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Увімкнути захист від фішингу та шкідливих програм.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?answer=114662|title=Налаштування конфіденційності та безпеки: Налаштування зображень, JavaScript та іншого веб-вмісту|publisher=[[Google]]|language=російською|accessdate=2011-04-02|archiveurl=https://www.webcitation.org/60uk43LLM?url=http://www.google.com/support/chrome/bin/answer.py?answer=114662|archivedate=2011-08-13|deadurl=no}}</ref>. Додатково Chromium дозволяє проводити гнучку настройку змісту веб-сторінок: редагувати політику запуску модулів, що підключаються, використання [[JavaScript]] та <code>cookies</code><ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Налаштування вмісту.</ref>, а також проводити очищення конфіденційних даних за певний період<ref group=~ > Параметри Chromium → Розширені → Конфіденційність → Видалити дані веб-перегляду.</ref><ref>{{cite web|url=http://www.google.com/support/chrome/bin/answer.py?hl=ru&answer=95582|title= Налаштування конфіденційності та безпеки: Видалення кешу і інших даних веб-перегляду|publisher=[[Google]]| language=російською|accessdate=2011-04-02|archiveurl=http://www.webcitation.org/60uk4kxzu|archivedate=2011-08-13}}</ref>. Серед інших механізмів захисту можна виділити:
* Специфікація [[HTML5]] у вигляді <code>Origin Header</code> забезпечує захист від [[Підробка міжсайтових запитів|підробки міжсайтових запитів]] (CSRF) <ref name=newsec />, блокуючи неправильні запити сайтів.
* Chromium підтримує X-Frame-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|title=IE8 Security Part VII: ClickJacking Defenses|author=Eric Lawrence|date=27 січня 2009|publisher=MSDN|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk5MMZR?url=http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx|archivedate=2011-08-13|deadurl=no}}</ref>, що захищає браузер від [[Клікджекінг|клікджекінга]], а також X-Content-Type-Options API<ref>{{cite web|url=http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx|title=IE8 Security Part V: Comprehensive Protection|author=Eric Lawrence|date=2 липня 2008|publisher=MSDN|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk6efb5?url=http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx|archivedate=2011-08-13|deadurl=no}}</ref>, що надає браузеру можливість захищатися від [[MIME]]-сніффінга<ref group=~>{{cite web|url=http://adblockplus.org/blog/the-hazards-of-mime-sniffing|title=The hazards of MIME sniffing|author=Wladimir Palant|date=2007-04-29|publisher=Офіційний блог AdBlock+|language=англійською|accessdate=2010-12-05|archiveurl=https://www.webcitation.org/60uk7ttGz?url=http://adblockplus.org/blog/the-hazards-of-mime-sniffing|archivedate=2011-08-13|deadurl=no}}</ref>.
Отримано з https://uk.wikipedia.org/wiki/Chromium