Přejít k navigační liště

Zdroják » Zprávičky » Laboratoře Microsoftu experimentují s bezpečnější architekturou webového prohlížeče

Laboratoře Microsoftu experimentují s bezpečnější architekturou webového prohlížeče

Webové prohlížeče se stávají pro uživatele několikrát do roka nebezpečím z důvodu výskytu bezpečnostních děr. Nic nenasvědčuje tomu, že by se tento stav mohl změnit. Nový projekt Gazelle z laboratoří Microsoftu je navržen tak, aby bezpečnostní rizika minimalizoval.

V čem se Gazelle od stávajících prohlížečů liší? Zejména nekompromisním odlišováním bezpečnostních kontextů. Pokud např. stránka na protokolu HTTPS ve stávajících prohlížečích načte skript přes protokol HTTP, je uživatel varován, ale skript bude po potvrzení spuštěn a bude mít přístup i k obsahu z HTTPS zdroje. To je poměrně velké bezpečnostní riziko, které Gazelle nepřipustí. Další problém je, že ve stávajících prohlížečích můžete zobrazit zcela průhledný iframe a přimět tak uživatele bez jeho vědomí kliknout na tlačítka a prvky neviditelné stránky (clickjacking), v Gazelle bude každý iframe neprůhledný. Také všechny části stránky, které pochází z odlišných zdrojů, jsou odděleny od hlavní stránky a to do takového důsledku, že např. i obrázek načtený z jiné domény než stránka bude zcela izolován od vlastní stránky (pravděpodobně zpracováván ve zvláštním izolovaném procesu).

Více o Gazelle najdete v dokumentu The Multi-Principal OS Construction of the Gazelle Web Browser (PDF). Podle zveřejněných informací v tuto chvíli Gazelle dokáže s přijatelnou rychlostí bezchybně zobrazit nejnavštěvovanější stránky internetu. Laboratoře Microsoftu to považují jako dostačující důkaz, že tato architektura je realizovatelná.

Nelze tvrdit, že by Microsoft snad měl opustit stávající trať Internet Exploreru a začít psát z gruntu nový prohlížeč. Úkolem projektu Gazelle podle všeho je právě a jen ona lepší architektura z pohledu bezpečnosti (nesnaží se nijak vyřešit např. lepší zobrazování stránek nebo podporu JavaScriptu). Pokud by se tato architektura osvědčila, mohla by být pravděpodobně použita v některé další verzi IE.

Komentáře

Odebírat
Upozornit na
guest
0 Komentářů
Nejstarší
Nejnovější Most Voted

Co je nového v Gitu 2.55.0

Git 2.55.0 přináší šest zajímavých novinek – od dlouho očekávané podpory fsmonitoru na Linuxu, přes zjednodušení úprav historie commitů pomocí nového příkazu git history fixup, až po další krok v postupné integraci jazyka Rust do jádra Gitu. Přidává se i možnost pushovat do skupiny vzdálených repozitářů, omezit šířku grafu u git log --graph a zrychlit git grep a git cherry v částečných klonech.

Od statických stránek k edge computingu: Historie webových technologií za 30 let

Třicet let. Tak dlouho už web existuje v podobě, kterou bychom dnes alespoň zhruba poznali — od prvních statických dokumentů přes éru aplikací běžících v prohlížeči až po kód, který se spouští na stovkách míst po celém světě jen pár milisekund od uživatele. Tenhle příběh ale není jen suchým výčtem technologií a verzí. Je to příběh jednoho kyvadla, které se celé tři dekády houpe mezi serverem a klientem — a které právě teď nachází nový bod rovnováhy někde uprostřed, na okraji sítě.