Pues tal parece que Google y su navegador Chrome han sido el centro de discusión en muchos blogs, que si themes, que si configuraciones para optimizarlo, que si esto, que si lo otro. En mi particular punto de vista que mal que Google solo haya lanzado Chrome oficialmente para Window$ y no para Linux y Mac.

Entre todo este mar de artículos sobre Chrome he leído uno que me intereso mucho pues más que hablar sobre lo bonito que lo podemos dejar, habla sobre otros aspectos como la seguridad y el funcionamiento de Chrome.

El artículo completo lo pueden encontrar en Hispasec , esta es una síntesis del mismo.

A principios de septiembre Google lanza (después de muchos rumores) casi por sorpresa (como suele hacer con todo) su nuevo navegador, conocido como Chrome. Una semana después, Internet se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits, actualizaciones y aclaraciones después, nos enteramos de que el gobierno alemán ha desaconsejado explícitamente el uso de Chrome. ¿Por qué?

No es un programa cualquiera. Genera gran expectación y curiosidad porque es Google, y todo lo que hace parece hacerlo bien, elegante, sencillo, robusto y bajo esa filosofía “don't be evil” con la que proyectan una imagen de cercanía y respeto por el usuario. Si hay que sacrificar la privacidad, el usuario medio parece sentirse más a gusto si los servidores son de Google y no de otras compañías. Al fin y al cabo, somos mayoría los que le confiamos a su buscador todas nuestras inquietudes varias veces al día.

Además de la sencillez y otras muchas mejoras, de forma breve, los principales avances técnicos sobre seguridad son:

• Cada pestaña se ejecuta en su propio proceso. Si alguna se cuelga, no (debería) arrastra(r) a todo el navegador.
• Se ejecuta en una sandbox, de forma que en principio no se podría acceder al sistema de ficheros real del ordenador a menos que sea explícitamente ordenado. No está claro qué ocurre con los plugins en este sentido.
• El modo Incognito (algo que también incorpora Internet Explorer 8 como InPrivate) en el que el usuario puede navegar sin dejar rastro en su sistema (básicamente histórico y cookies). Sin embargo sí que se envían las cookies ya almacenadas si las hubiese por defecto.
  

En cuanto estuvo disponible para descarga, aparecieron las primeras vulnerabilidades (y se descubrirán más... lo más grave vendrá cuando de alguna forma se averigüe cómo saltarse esa sandbox). En principio denegaciones de servicio básicamente. Una denegación de servicio no es una vulnerabilidad grave en un navegador. Sí se puede considerar un fallo de diseño en este caso concreto, puesto que hacer que el navegador deje de responder por completo en principio contradice la filosofía de crear cada pestaña en su propio proceso independiente. Por ejemplo, existen literalmente decenas de formas de hacer que Internet Explorer deje de responder. Firefox sufrió lo suyo (y aún hoy en día) con los torpedos de Zalewski, que hacían que el navegador dejase de responder una y otra vez incluso después de varias actualizaciones intentado solucionar el problema.

La vulnerabilidad "real" vino después. Chrome está basado en Webkit, el motor de Safari. Esta sí era un problema por dos razones. Primero por estar heredada de un fallo ya conocido, admitido y corregido en junio por Apple en Safari. Segundo por lo que permitía: la descarga de archivos en el escritorio de forma automática (sin preguntar al usuario) al visitar una web especialmente manipulada. Un atacante podría descargar muchos archivos automáticamente en el escritorio hasta "bombardearlo" (carpet bomging). ¿Por qué heredar un fallo ya corregido? Se descubrieron otras de cierta gravedad. Rishi Narang publicó una prueba de concepto pública que permitía una denegación de servicio, pero se intuía la ejecución de código.

Esperemos ver como va evolucionando Chrome y qué suerte le espera al nuevo navegador de Google

Nombre

Email

Sitio Web

Título

Comentario

minimizar | agrandar

Suscribirse via email (Solo usuarios registrados)

Escribe los caracteres de la imagen

Nuevo Comentario