最新版本的Chrome增加了很多“花里胡哨”的功能以及超快的速度,那么它的安全性能怎样呢?
浏览器供应商一直在努力研究如何对付日益增长的网络安全威胁,微软公司的IE8就增加了很多安全功能,而在最新版本的Google浏览器中,Google公司还增加了一些“幕后的”保护功能,包括抵御伪跨站请求和clickjacking等。最近出现的CSRF攻击,能够强迫用户在通过用户身份验证的web应用程序中执行不需要的程序,而在Chrome 2.0中,为了抵御CSRF,原始信息将发送给POST请求,而其服务器可能会随时改变状态。
Chrome软件工程师Adam Barth表示,“如果您是一家银行,你将需要检查这种请求以确保请求来自你自己的网站,而不是攻击者的网站。”
除了抵御CSRF攻击功能外,Google公司还在Chrome 2.0中加入了HTML5的PostMessage功能来帮助网站开发人员建立更加安全的mashup应用程序。
另外,Google公司还跟随IE8添加了clickjacking保护功能以及从新标签页移除缩略图的功能,以提高隐私性。
当Chrome浏览器于2008年9月首次推出时,Google就试图大力宣传其浏览器的安全功能,但是在刚开始,Google公司也遇到过不少挑战,最初发布的浏览器就存在WebKit漏洞以及其他安全漏洞。
Google公司已经表示,目前暂时没有计划像IE一样增加网站安全区域或者在用户界面禁用JavaScript等功能。但是,如果禁用Javascipt能够阻止攻击的话,也不排除将会通过命令行禁用Javascipt。
Google工程师表示,Google Chrome的目标就是尽可能的在默认情况下确保浏览器的安全性,而不需要用户自己去采取任何行动或者配置设置。
