Chrome ma sandboxa (czyli nie tylko Low Rights IE)
Jesper opublikował interesujący wpis Is it ActiveX that is the problem?, który jest polemiką z wpisem ATL/ActiveX issues are not the end of the World.
W wpisie tym zwraca uwagę, że ActiveX to jedynie jedna z technologii rozszerzeń funkcjonalności przeglądarki, która sama w sobie nie jest specjalnie bardziej niebezpieczna od technologii stosowanych w innych przeglądarkach. Inna sprawa, że w innych przeglądarkach potencjalnie dziurawy plug-in lub add-on muszę świadomie zainstalować, w przypadku ActiveX wiele z nich przychodzi z dobrodziejstwem inwentarza w trakcie instalowania innych programów. Często zdarza się nawet tak, że podatna kontrolka ActiveX w założeniu nie miała być uruchamiana w Internet Explorer. Z mojego punktu widzenia problemem z ActiveX jest spora powierzchnia ataku czyli spora ilość kontrolek, które mogą zostać (nieświadomie) zainstalowane w systemie a następnie zostać uruchomione za pośrednictwem IE, choć nie można nie zauważać sporej pracy włożonej w poprawę tego stanu rzeczy: Internet Explorer’s ActiveX Security Mitigations in Use.
Dość mocno jednak odbiegłem od zamierzonego tematu tego wpisu. A jest on związany z tym fragmentem omawianego posta:
(...) To the Nathans of the world: I never said Firefox and Chrome are less secure than IE. All I pointed out was that they do not benefit from a sandbox the way IE does on Vista and Win7. They could. Easily. (...)
O ile jest to prawda w przypadku Firefoxa (i szczerze mówiąc uważam, że brak sandboxa to spory mankament Firefoxa), to twierdzenie to w przypadku Chrome jest nieuprawnione. Nie jestem fanem Chrome, używam tej przeglądarki wyłącznie po to, by sprawdzić pewne różnice implementacyjne między różnymi przeglądarkami. Mimo tego trzeba przyznać, że Chrome sandbox posiada, co więcej sandbox ten działa nie tylko w Windows Vista i Windows 7. Więcej informacji na ten temat można znaleźć u źródła, czyli:
- A new approach to browser security: the Google Chrome Sandbox,
- Chromium Developer Documentation: Sandbox,
Oryginał tego wpisu dostępny jest pod adresem Chrome ma sandboxa (czyli nie tylko Low Rights IE)
Autor: Paweł Goleń