谷歌提供了一个有用的文件,可以帮助用户了解谷歌浏览器的安全防御手段,还涉及到潜在的黑客。去年年底一项测试表明,谷歌Chrome是最安全的浏览器,基于其沙箱防御,自动更新机制和与Google安全团队的发布补丁漏洞的速度上。
虽然后来有一些质疑声,但谷歌随后分享了其浏览器的安全性原则,一个可帮助用户了解浏览器的引擎下包含什么、以及网络黑客活动的帮助文档。
Google Chrome浏览器安全性原则的一些要点:
1.纵深防御
我们的目标是设计Chrome的安全架构层防御,避免单点故障。Chrome的沙箱架构是战略最有效的部位之一,但它并非唯一的防御手段。我们 还使用了最好的反利用技术,包括ASLR,DEP,JIT硬化和SAFESEH,以及自定义安全浏览技术, 过期插件拦截,静默自动更新,并在Chrome OS启动验证。谷歌将继续研究安全开发,为推进源沙盒和控制流的完整性等技术。
2.透明度
我们没有淡化安全的影响,或埋头沉默修复漏洞,因为这样做对用户不好。相反,我们提供他们需要的信息,以准确评估风险用户和管理员。我们公开文 件处理过程,同时透露Chrome的bug修复等等;尽可能地列出修复的所以安全问题,让大家彻头彻尾地明白,只要其他受影响的项目有足够的时间来回应。 即使我们未披露安全问题的时间表,并不能列出它在发布时,我们会尽快将问题公之于众。
3.社区参与
没有软件是完美的,即使是最好的开发和审查程序,也会出现“漏网之鱼”。所以,我们感谢独立安全研究社区的工作,帮助我们找到并修复漏洞。对 此,我们会尽全力承认他们的贡献,并提供相应的奖励金发放。我们充分利用并扩大社区力量,在这里我们可以直接雇用社区技术员为Chrome团队成员,并与 行业领先的独立安全顾问签约。