Laboratoře Microsoftu experimentují s bezpečnější architekturou webového prohlížeče

Webové prohlížeče se stávají pro uživatele několikrát do roka nebezpečím z důvodu výskytu bezpečnostních děr. Nic nenasvědčuje tomu, že by se tento stav mohl změnit. Nový projekt Gazelle z laboratoří Microsoftu je navržen tak, aby bezpečnostní rizika minimalizoval.

V čem se Gazelle od stávajících prohlížečů liší? Zejména nekompromisním odlišováním bezpečnostních kontextů. Pokud např. stránka na protokolu HTTPS ve stávajících prohlížečích načte skript přes protokol HTTP, je uživatel varován, ale skript bude po potvrzení spuštěn a bude mít přístup i k obsahu z HTTPS zdroje. To je poměrně velké bezpečnostní riziko, které Gazelle nepřipustí. Další problém je, že ve stávajících prohlížečích můžete zobrazit zcela průhledný iframe a přimět tak uživatele bez jeho vědomí kliknout na tlačítka a prvky neviditelné stránky (clickjacking), v Gazelle bude každý iframe neprůhledný. Také všechny části stránky, které pochází z odlišných zdrojů, jsou odděleny od hlavní stránky a to do takového důsledku, že např. i obrázek načtený z jiné domény než stránka bude zcela izolován od vlastní stránky (pravděpodobně zpracováván ve zvláštním izolovaném procesu).

Více o Gazelle najdete v dokumentu The Multi-Principal OS Construction of the Gazelle Web Browser (PDF). Podle zveřejněných informací v tuto chvíli Gazelle dokáže s přijatelnou rychlostí bezchybně zobrazit nejnavštěvovanější stránky internetu. Laboratoře Microsoftu to považují jako dostačující důkaz, že tato architektura je realizovatelná.

Nelze tvrdit, že by Microsoft snad měl opustit stávající trať Internet Exploreru a začít psát z gruntu nový prohlížeč. Úkolem projektu Gazelle podle všeho je právě a jen ona lepší architektura z pohledu bezpečnosti (nesnaží se nijak vyřešit např. lepší zobrazování stránek nebo podporu JavaScriptu). Pokud by se tato architektura osvědčila, mohla by být pravděpodobně použita v některé další verzi IE.

Martin Hassman založil a vede magazín Zdroják. Absolvoval VŠCHT Praha. Byl u založení projektu CZilla (dnes už nepamatujete, nevadí). Stavěl mosty a metal cestu pro HTML5 (to tu ještě máme). V GUG.cz organizoval akce pro vývojáře (a jestli neumřeli, kódují si dodnes…).

Zatím nebyl přidán žádný komentář, buďte první!

Přidat komentář
Zdroj: https://www.zdrojak.cz/?p=539