マツジローのネットワークセキュリティ日記

こんにちわ、ネットワークセキュリティのマツジローです。

o Pwn2Own コンテストで、唯一 Chrome が生き残った。
「ソフトウェアのセキュリティホールを発見する競技」 Pwn2Own コンテストが終了した。ブラウザ部門では、IE、Firefox、Chrome、Safari のなかで唯一 Chrome が生き残った。これで 2 年連続、すごい。

Chrome のセキュリティの中核技術が、“サンドボックス化”だ。今日はこれ。

その前に、ちょっとブラウザの仕事がどれほど複雑か、考えてみよう。
・ HTML を読んで
・ スタイルシートを適用して
・ JavaScript を実行して
・ Flash などのプラグインを実行する
・ ユーザとの対話もする
しかも、これらを超高速でやらないと遅いとか言われるんだから、もー大変。
おまけに、ハッカーからの攻撃（悪意のあるコンテンツ）を想定して、それを実行しないようにするんだからねー

o なぜ“サンドボックス化”するのか、前提
これだけの機能をもつソフトウェアをバグや脆弱性なく作ることは無理、おまけに、プラグインはサードパーティーが作るのだ。
バグや脆弱性があれば、ハッカーが攻撃を仕掛けてくる
だから、バグや脆弱性があっても安全なしくみを作る、これが“サンドボックス化”

o “サンドボックス化”とは
ブラウザのタブがそれぞれ独立した実行環境になっていることを“サンドボックス”と言う。

“サンドボックス”からは、他のタブやオペレーティングシステムの資源に直接触れないようになっていて、その中で、ブラウザの仕事が実行されるのだ。だから、JavaScript や Flash のバグや脆弱性を利用して不正なコードが実行されても、“サンドボックス”の外に出れない。例えば、ボットを仕込むとか、文書を持ち出すとか、ウイルスを仕込むとかが出来ないのだ。

そろそろ、Google Chrome に乗り換えようかな！



http://en.wikipedia.org/wiki/Google_Chrome#Security

ネタ -> http://blogs.forbes.com/firewall/2010/03/26/googles-chrome-leaves-another-hackathon-unscathed/

マラソン -> http://blog.goo.ne.jp/matzjiro/e/9a6d4b409d4b64bea10ebdf7caf776e4