onsdag 31 mars 2010

Chrome enda oknäckta webbläsaren

Många av er har säkert följt Twitterströmmen #pwn2own från konferensen CanSecWest 2010. Tävlingssugna hackers hade tre dagar på sig att knäcka de fyra stora webbläsarna Chrome, Firefox, Internet Explorer och Safari (läs mer på DVLabs-bloggen).

Alla webbläsare utom en föll första dagen. Så här utvecklades tävlingen:
  1. Apple Safari 4 på MacOS X Snow Leopard -- knäckt
  2. Apple Safari 4 på MacOS X Snow Leopard -- knäckt igen
  3. Microsoft Internet Explorer 8 på Windows 7 -- knäckt
  4. Microsoft Internet Explorer 8 på Windows 7 -- knäckt igen
  5. Mozilla Firefox 3 på Windows 7 -- knäckt
  • Google Chrome 4 på Windows 7, Vista och XP -- inte knäckt
Som Mac-ägare blir jag förstås lite ledsen. Safari på iPhone var den plattform som hackades först under pwn2own. Och då snackar vi fientlig nedladdning av hela sms-databasen :(. Under tiden släppte Apple en gigantisk säkerhetspatch för 92 säkerhetshål -- 18 i Leopard, 29 i Snow Leopard och 45 i båda. Men Apple har också fått mycket kritik för sitt säkerhetsarbete.

Mer förvånad blir jag att IE8 på Win7 föll tämligen hårt. Och Mozilla som arbetar hårt med säkerhetsfeatures i sin webbläsare. Det blir intressant att se vad IE9 har att komma med och hur mycket av Microsoft Research:s forskning om t ex Gazelle-läsaren kommer att spela in där. Likheter med Chrome finns.

Det intressanta är att inte många försök gjordes att knäcka Chrome trots prispengarna på $10,000 och den enorma prestigen, särskilt efter att alla de andra fallit första dagen. Chrome:s unika arkitektur med separata processer i sandlådor (kolla processlistan när du surfar med flera flikar) lär vara en av orsakerna. Det faktum att konkurrenterna hade lägre hängande frukt en annan.


Fotnot: Det är rätt häftigt att just personerna bakom Chrome:s säkerhet är inbjudna talare på sommarens konferens i Stockholm! Och de ska prata om The Future of Browser Security.

Inga kommentarer: