Hoe veilig is Google Chrome?
Om een zo veilig mogelijke browser te maken, is Google Chrome helemaal opnieuw ontwikkeld, maar is Google's browser echt zo veilig als het op papier lijkt? Het beveiligingsmodel van de browser is uitstekend. Chrome scheidt de browserkernel van de renderprocessen, die gebaseerd zijn op de opensource WebKit engine, die ook door Apple's Safari wordt gebruikt. Elke website die in Chrome geopend is, krijgt zijn eigen renderproces, geheugenruimte, globale datastructuren, toegangs-token, tab- en URL bar. Het opent twintig verschillende processen, één voor elke website en deelt dan de processen tussen die websites. Rendering processen zijn ook zeer beperkt in wat ze wel en niet kunnen doen.
Google's beslissing om hun software te laten installeren zonder adminrechten valt niet bij iedereen in goede aarde. Dit kan het beheer van Chrome installaties in bedrijfsnetwerken namelijk lastiger maken, maar Microsoft moedigt deze manier juist aan. Het hoopt zo om aanpassingen door ontwikkelaars aan Windows te voorkomen. Chrome is de eerste grote applicatie die het advies van concurrent Microsoft opvolgt.
Updates
Chrome installeert automatisch de Googleupdate.exe applicatie mee, dat opgenomen wordt in de Vista Task Scheduler,welke regelmatig naar updates zoekt. Overigens alleen wanneer de gebruiker is ingelogd en niets doet. Wanneer er updates zijn, worden deze stilletjes gedownload en vervolgens geïnstalleerd. Een prima manier om de browser up-to-date te houden, aangezien er vaak meerdere patches per week verschijnen, maar veel systeembeheerders zit het niet lekker dat het programma zonder waarschuwing met de buitenwereld verbinding maakt.
Javascript uitschakelen
Een ander interessant concept, is Chrome's virtuele JavaScript machine, genaamd V8. De engine zet JavaScript om naar conventionele machinetaal, om websites sneller te laten laden. Er schuilt echter een grote "maar" in deze functionaliteit. Het is niet uit te schakelen, terwijl alle concurrenten van Google dat wel kunnen, zelfs per site- of zone. Daarbij maken de meeste webaanvallen gebruik van JavaScript, wat een groot risico voor Chrome is. "Ik kan niet begrijpen dat Google zo'n steek heeft laten vallen, zelfs als het bedrijf probeert om JavaScript-verrijkte applicaties te promoten. Als, of beter gezegd wanneer, er een grootschalige JavaScript exploit tegen Chrome verschijnt, is de enige oplossing om de browser niet meer te gebruiken", zegt Roger Grimes.
Het niet kunnen uitschakelen van JavaScript is wel erg dubieus...
Waar ik me ook zorgen om maak is de privacy. Is dat ook aangepakt in de nieuwe versie van Chrome?
Als Google goed tip moest geven had "wite lijst website" JavaScript laten uitvoeren.
En locaal website Javascript uitgeschakeld. En zwartlijst gemaakt verboden website.
Met Goolge Chrome gegarandeerd Google dat ze hun reclame advertensie niet mislopen!
Werkt prima hier ;)
Werkt prima hier ;)
Volgens die redenering kan je dus net zo goed eender welke lekke browser nemen, op voorwaarde dat je 'm maar draait icm GNU/Linux. Lijkt me een kromme redenering gezien het hier toch niet om het OS gaat, maar om de browser...
Werkt prima hier ;)
Maar als ik hun privacy-statement doorlees, gaan alle haren overeind staan hoor.
kan je niet bepaald veilig noemen, maar ze zijn mss wel op de goeie weg, wie weet ....
Waarom krijg ik nou geen warm gevoel ??
Werkt prima hier ;)
Werkt prima hier ;)
Maar als ik hun privacy-statement doorlees, gaan alle haren overeind staan hoor.
Waar ik me ook zorgen om maak is de privacy. Is dat ook aangepakt in de nieuwe versie van Chrome?
Ja dat probleem is door Google opgelost, er is geen privacy meer.
Daar hoef je weinig zorgen over te maken!
Firefox-gebruikers denken bij het noemen van hun geliefde browser onder andere ook aan NoScript, AdBlock Plus, CookieCuller, FoxyProxy etc. die deze Google bende tegenhoud of ontwijkt. En dat is "bad for Google's business". En zoals vele idealistische hippie projecten ooit ontstaan in de regio San Fransico, zal Google veranderen in een allesomvattend bedrijf zonder scrupules die de markt met ongeoorloofde praktijken naar haar hand zal proberen te zetten. Ik zie dan ook (maar ja, wie ben ik), een toekomst waar Google, met al haar webservices, een soort afgesloten net gaat worden, waar je alleen opkomt met Chrome. Kortom, zoiets had Microsoft al in de jaren negentig al voor ogen en is gelukkig nooit een succes geworden.
En een NoScript voor Google Chrome? Kans dat die komt is nagenoeg nihil, tenzij deze NoScript alle Google scripts doorlaat en de rest niet. Of dat gewenst is, hangt van de gebruiker. Ik blijf in ieder geval lekker bij FF.
Werkt prima hier ;)
Volgens die redenering kan je dus net zo goed eender welke lekke browser nemen, op voorwaarde dat je 'm maar draait icm GNU/Linux. Lijkt me een kromme redenering gezien het hier toch niet om het OS gaat, maar om de browser...
Wat mij betreft mag je iedere browser gebruiken als het maar Google's Chrome is, analoog aan Henry Ford's opmerking "you can have any color as long as it is black"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
