Chrome OS安全防護：沙箱與自動更新

留下回應

透過網路程式發動的攻擊是當今最大的威脅。因此，安全防護也是Google的Chrome OS的重要部分。

一如預期，Google的Chrome OS有許多防護功能和概念，都與Chrome瀏覽器相同。該公司的集團產品經理Caesar Sengupta說：「瀏覽器就是作業系統。我們擴張了瀏覽器，加入作業系統的功能。」

Chrome OS結合作業系統層級的防護和緩衝技術，以限制攻擊發生，或攻擊行動影響的程式碼數量，並減少攻擊成功的機率。Sengupta說：「最大的安全衝擊是所有應用程式都在瀏覽器內執行。」

Chrome相當依賴sandbox（沙箱）技術來區隔不同程序和應用程式。如此可限制應用軟體與OS核心的互動。舉例來說，在傳統的作業系統，若應用軟體發生錯誤，可能導致電腦當機或影響其他執行中的程式。

但Sengupta說：「假如每個東西都經過sandbox（安全程序設定），就很難發生那種情況。」 許多電腦受損，都是因為使用者打開看似無害的檔案，釋放出病毒或惡意軟體。

Sengupta表示，用Chrome，「應用軟體無法直接下載任何程式碼然後執行」。根據Chrome的安全概要，Chrome有一個已驗證開機程序，利用加密技術確保其Linux核心、非揮發性系統記憶體，和其硬碟分割表在系統開機時不會受損。

Sengupta說：「目前在你的傳統作業系統上，任何一種程序都能執行，因此很難預測任一程序的作用。在Chrome，因為整個作業系統基本上是由Google控制，我們可以有很多作法確保它安全。」

若有某個應用軟體能夠突破瀏覽器sandbox，通過核心的強化和處理基礎設施，進而改變作業系統的某個部分，使用者下一次開機時，那些改變將被刪除。Sengupta說：「系統一旦偵測到任何沒有經過Google簽署的變更，將立刻警告使用者，並開始自清。」

清理過程也比傳統作業系統容易，因為Chrome的系統資料與使用者偏好、系統設定，和儲存在Google雲端伺服器的快取資料分開。

另一方面，Chrome將自動更新取得最近的軟體和修補程式，不影響使用者的作業。使用者不需擔心沒有即時安裝更新而遭受攻擊。

此外，Chrome瀏覽器的反釣魚技術也納入Chrome OS。Google將在明年正式推出Chrome OS前，提供詳細的設計說明，讓安全專家檢查是否有弱點。

但Google也捨棄若干其他作業系統目前支援的安全和網路技術。Google將繼續觀察生物驗證技術，但認為其成本/可靠度尚未達到一定程度。智慧卡和USB加密鎖是「有趣的技術，但我們不想讓使用者分心注意一個實體的獨立項目。」

Google對藍芽也沒興趣。安全概要寫道：「藍芽對我們的登入/螢幕鎖程式碼增加一整個可能造成錯誤的新軟體堆疊，而其配搭協定的安全性過去也備受批評。」（陳智文/譯）