Chrome 采用大量措施增强浏览器插件的安全性

Posted by Eyon on June 29, 2010

虽然黑客在很多人心中都非常神秘,但其大体的攻击方式莫过于几种类型:诱骗用户执行可执行文件、对浏览器的潜在漏洞进行攻击以及攻击浏览器中安装的插件。

令人欣慰的是,现在主流的操作系统以及 Email 系统都会尽量限制未知可执行文件的运行;而对浏览器本身漏洞的攻击,也伴随着 Chrome 浏览器的流行变得越来越少,其中的原因我们已经多次说过——即使浏览器有漏洞也过不了沙箱(Sandbox)这一关,这也是在近两年的 Pwn2Own 黑客大赛上即便有黑客发现了 Chrome 的漏洞但没有办法利用的原因,而且 Chrome 的自动更新也可以在第一时间修补这些漏洞。另外,Google 推出的 Chrome Frame 插件也可以给 IE 浏览器加上沙箱功能,让 IE 变得更加安全。

在前两种攻击方式越来越行不通的时候,一些技术高超的黑客就会考虑用第三种方式——找到浏览器插件的漏洞进行攻击,不得不说这种黑客确实非常厉害。但对于 Google 来说,保障用户的安全是他们最重要的事情,显然不会允许这样的事情存在。为此,Google 已经采取了大量的措施,包括未来还有一系列的计划,防止黑客利用这种手段进行攻击,我们一起来看看:

更强大的插件控制

Chrome 浏览器内置插件管理器(about:plugins),用户可以非常方便的禁用某个插件;同时,用户还可以通过类似于“网站白名单”的方法让插件只能在自己所信任的网站上运行(选项->内容设置->插件)。

Flash Player 插件自动更新

总所周知 Chrome 现在已经内置了最为流行的 Flash Player 插件,为了尽可能的减少用户电脑被攻击的几率,内置的 Flash Player 插件也使用了 Chrome 强大的自动更新功能,用户随时都可以保证自己 Chrome 浏览器内所用的 Flash Player 插件为最新版本。

集成在沙箱中运行的 PDF 阅读器

最近 Google 在 Chrome Dev 分支中集成了一个完全运行在沙箱中的 PDF 阅读器,也就是说直接在 Chrome 浏览器中使用内置的 PDF 阅读器浏览器 PDF 是受到沙箱的保护的,这可以最大限度的避免因为 PDF 的原因导致用户被攻击。

对老旧的插件运行采取限制措施

Chrome 在未来将会启动一个拒绝某些太过老旧的插件运行的机制,并帮助用户更新。

运行使用频率太低的插件前发出警告

大家可能会发现有一些插件很莫名其妙的就安装到了自己的浏览器中,自己却从来没用过,未来 Chrome 将会加入运行这种很少使用的插件之前发出警告的功能。

下一代的插件 API

下一代插件 API 项目 Pepper 会让插件运行在沙箱中更加简单容易。

Via Chromium Blog