c.m.g
01-07-2010, 10:12
mercoledì 30 giugno 2010
http://www.punto-informatico.it/punto/20100701/logo_chorme.gif
Google è pronta ad introdurre diverse novità per migliorare la sicurezza dei plug-in. Fra queste, un controllo sullo stato di aggiornamento di questi componenti simile a quello di Firefox 3.6
Roma - Oggi Google Chrome viene considerato dagli esperti uno dei browser più sicuri in circolazione: questo non perché sia necessariamente meno bacato dei suoi colleghi, ma perché implementa tutta una serie di meccanismi di protezione - primo tra i quali il sandboxing (http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html) - che rendono assai più difficile lo sfruttamento delle vulnerabilità da parte dei malintenzionati. Ma Google non sembra intenzionata ad dormire sugli allori: alle misure di sicurezza già presenti nell'attuale versione stabile di Chrome è pronta ad aggiungerne altre, tra le quali un controllo sui plug-in analogo a quello (http://punto-informatico.it/2852770/PI/News/firefox-una-beta-prova-plugin-buggati.aspx) recentemente introdotto da Mozilla con Firefox 3.6.
Ad illustrare le strategie sulla sicurezza relative a Chrome è questo post (http://blog.chromium.org/2010/06/improving-plug-in-security.html) firmato da tre membri del Google Security Team. Qui si spiega, riprendendo un tema caro a Mozilla, che nell'ambito dei browser il principale vettore di attacco non è più rappresentato dalle falle contenute nei browser stessi, ma da quelle - spesso numerose - che affliggono i più diffusi plug-in: un esempio su tutti, Flash Player. "Gli aggressori privilegiano gli attacchi più facili, di conseguenza l'accresciuta robustezza dei browser li sta portando a considerare altri modi per compromettere le macchine degli utenti" si legge nel post. "Stiamo osservando un considerevole aumento degli attacchi rivolti a certe porzioni dell'infrastruttura di browsing, come i plug-in".
Per proteggere i propri utenti da queste minacce, Google ha recentemente introdotto nel suo browser due novità: la prima riguarda la possibilità di disattivare i singoli plug-in (about:plugins) senza riavviare il browser e di restringere, per mezzo di una whitelist, i domini che possono caricare i plug-in; la seconda consiste nell'inclusione di Flash Player in Chrome (http://punto-informatico.it/2845645/PI/News/chrome-ingurgita-flash.aspx), così da armonizzarne il sistema di aggiornamento automatico e garantire all'utente di disporre sempre della versione più aggiornata del plug-in.
Ripetendo quanto fatto con Flash Player, Google ha deciso di integrare in Chrome un viewer di PDF (http://punto-informatico.it/2919850/PI/News/google-guarda-vp9-chrome-sposa-pdf.aspx) che gira nella sandbox del browser: "Questo renderà molto più difficile sfruttare le vulnerabilità PDF-based per l'installazione persistente di malware" assicura Google. Per il momento il plug-in Chrome PDF Viewer è contenuto esclusivamente nella developer preview di Chrome 6, e va attivato manualmente da about:plugins.
Nel medio termine BigG introdurrà infine due altre forme di protezione: la prima è il già citato controllo sullo stato di aggiornamento dei più diffusi plug-in, che come in Firefox 3.6 avviserà l'utente se un componente non è aggiornato e lo aiuterà a scaricare la versione più recente; la seconda protezione è una sorta di estensione della prima, e metterà in guardia gli utenti ogniqualvolta una pagina web tenti di eseguire plug-in che, benché ancora diffusi, non sono più generalmente necessari per usufruire dell'odierna esperienza di navigazione sul Web. L'uso di tali plug-in, secondo Google, può essere considerato in molti casi sospetto.
A monte di tutti questi accorgimenti c'è poi la progressiva migrazione verso la nuova API per i plug-in, Pepper (https://wiki.mozilla.org/NPAPI:Pepper), che semplifica lo sviluppo di componenti - come Chrome PDF Viewer - in grado di girare all'interno di una sandbox.
Il grande impegno di Google nel rendere il proprio browser a prova di cracker e di malware è motivato dal fatto che, come noto, il Web è la piattaforma su cui gira l'intero parco di software e di servizi offerto da BigG: la sicurezza del browser è dunque un fattore cruciale per il successo delle applicazioni cloud di Google, soprattutto in ambito enterprise.
Proprio negli scorsi giorni StatCounter ha pubblicato nuove statistiche (http://punto-informatico.it/2926477/PI/News/chrome-safari-sorpasso-definitivo.aspx) che confermano come Chrome sia diventato, anche negli Stati Uniti, il terzo browser più utilizzato dopo Internet Explorer e Firefox.
Alessandro Del Rosso
Fonte: Punto Informatico (http://punto-informatico.it/2929719/PI/News/google-chrome-tiene-occhio-plug-in.aspx)
http://www.punto-informatico.it/punto/20100701/logo_chorme.gif
Google è pronta ad introdurre diverse novità per migliorare la sicurezza dei plug-in. Fra queste, un controllo sullo stato di aggiornamento di questi componenti simile a quello di Firefox 3.6
Roma - Oggi Google Chrome viene considerato dagli esperti uno dei browser più sicuri in circolazione: questo non perché sia necessariamente meno bacato dei suoi colleghi, ma perché implementa tutta una serie di meccanismi di protezione - primo tra i quali il sandboxing (http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html) - che rendono assai più difficile lo sfruttamento delle vulnerabilità da parte dei malintenzionati. Ma Google non sembra intenzionata ad dormire sugli allori: alle misure di sicurezza già presenti nell'attuale versione stabile di Chrome è pronta ad aggiungerne altre, tra le quali un controllo sui plug-in analogo a quello (http://punto-informatico.it/2852770/PI/News/firefox-una-beta-prova-plugin-buggati.aspx) recentemente introdotto da Mozilla con Firefox 3.6.
Ad illustrare le strategie sulla sicurezza relative a Chrome è questo post (http://blog.chromium.org/2010/06/improving-plug-in-security.html) firmato da tre membri del Google Security Team. Qui si spiega, riprendendo un tema caro a Mozilla, che nell'ambito dei browser il principale vettore di attacco non è più rappresentato dalle falle contenute nei browser stessi, ma da quelle - spesso numerose - che affliggono i più diffusi plug-in: un esempio su tutti, Flash Player. "Gli aggressori privilegiano gli attacchi più facili, di conseguenza l'accresciuta robustezza dei browser li sta portando a considerare altri modi per compromettere le macchine degli utenti" si legge nel post. "Stiamo osservando un considerevole aumento degli attacchi rivolti a certe porzioni dell'infrastruttura di browsing, come i plug-in".
Per proteggere i propri utenti da queste minacce, Google ha recentemente introdotto nel suo browser due novità: la prima riguarda la possibilità di disattivare i singoli plug-in (about:plugins) senza riavviare il browser e di restringere, per mezzo di una whitelist, i domini che possono caricare i plug-in; la seconda consiste nell'inclusione di Flash Player in Chrome (http://punto-informatico.it/2845645/PI/News/chrome-ingurgita-flash.aspx), così da armonizzarne il sistema di aggiornamento automatico e garantire all'utente di disporre sempre della versione più aggiornata del plug-in.
Ripetendo quanto fatto con Flash Player, Google ha deciso di integrare in Chrome un viewer di PDF (http://punto-informatico.it/2919850/PI/News/google-guarda-vp9-chrome-sposa-pdf.aspx) che gira nella sandbox del browser: "Questo renderà molto più difficile sfruttare le vulnerabilità PDF-based per l'installazione persistente di malware" assicura Google. Per il momento il plug-in Chrome PDF Viewer è contenuto esclusivamente nella developer preview di Chrome 6, e va attivato manualmente da about:plugins.
Nel medio termine BigG introdurrà infine due altre forme di protezione: la prima è il già citato controllo sullo stato di aggiornamento dei più diffusi plug-in, che come in Firefox 3.6 avviserà l'utente se un componente non è aggiornato e lo aiuterà a scaricare la versione più recente; la seconda protezione è una sorta di estensione della prima, e metterà in guardia gli utenti ogniqualvolta una pagina web tenti di eseguire plug-in che, benché ancora diffusi, non sono più generalmente necessari per usufruire dell'odierna esperienza di navigazione sul Web. L'uso di tali plug-in, secondo Google, può essere considerato in molti casi sospetto.
A monte di tutti questi accorgimenti c'è poi la progressiva migrazione verso la nuova API per i plug-in, Pepper (https://wiki.mozilla.org/NPAPI:Pepper), che semplifica lo sviluppo di componenti - come Chrome PDF Viewer - in grado di girare all'interno di una sandbox.
Il grande impegno di Google nel rendere il proprio browser a prova di cracker e di malware è motivato dal fatto che, come noto, il Web è la piattaforma su cui gira l'intero parco di software e di servizi offerto da BigG: la sicurezza del browser è dunque un fattore cruciale per il successo delle applicazioni cloud di Google, soprattutto in ambito enterprise.
Proprio negli scorsi giorni StatCounter ha pubblicato nuove statistiche (http://punto-informatico.it/2926477/PI/News/chrome-safari-sorpasso-definitivo.aspx) che confermano come Chrome sia diventato, anche negli Stati Uniti, il terzo browser più utilizzato dopo Internet Explorer e Firefox.
Alessandro Del Rosso
Fonte: Punto Informatico (http://punto-informatico.it/2929719/PI/News/google-chrome-tiene-occhio-plug-in.aspx)