SyScan國際會議 360工程師詳解瀏覽器安全架構(gòu)

    12月14日，360公司承辦的國際頂級安全技術(shù)峰會——SyScan360在北京舉行，微軟、谷歌、McAfee等公司和安全組織成員現(xiàn)身發(fā)表最新安全研究成果。與之前演講者側(cè)重攻擊技術(shù)不同，360瀏覽器技術(shù)總監(jiān)任寰發(fā)表了《Chrome安全架構(gòu)的進化》主題演講，從產(chǎn)品安全防守角度進行了總結(jié)和分析。

圖：360瀏覽器技術(shù)總監(jiān)任寰，之前是Chrome多個模塊開發(fā)負責(zé)人

    任寰自2006年起從事Google Chrome瀏覽器的設(shè)計和開發(fā)，是Chrome瀏覽器Windows版和Android版多個模塊(多進程架構(gòu)、網(wǎng)絡(luò)、開發(fā)基礎(chǔ)設(shè)施、穩(wěn)定性分析、插件、視頻)的開發(fā)負責(zé)人。他現(xiàn)任360瀏覽器技術(shù)總監(jiān)，負責(zé)360瀏覽器開發(fā)工作。

    任寰介紹了Chrome安全機制的設(shè)計思想、基本原理，以及發(fā)展演變，并對其有效性進行了評估。據(jù)他介紹，Chrome瀏覽器的安全機制主要包括：渲染進程、擴展進程、GPU隔離、插件的進程以及GPU進程。

    談到Chrome安全機制的演變歷史，任寰介紹最初版本的Chrome并沒有沙箱，從2007年至2010年間依次出現(xiàn)渲染沙箱、擴展系統(tǒng)、GPU渲染機制和插件沙箱。

    任寰介紹了瀏覽器插件的一些弱點，指出插件擴展給瀏覽器安全性帶來很大風(fēng)險。據(jù)介紹，研究成果顯示，手動檢查50個流行的以及50個任意選擇的插件，40個插件中發(fā)現(xiàn)了高達70個漏洞，由插件引起的漏洞風(fēng)險比例非常高。

    SyScan前瞻信息安全技術(shù)年會是國際知名的信息安全會議之一，自2004年在新加坡首次舉辦以來已成功了8次會議。今年SyScan首次登陸北京，攜手中國第一大互聯(lián)網(wǎng)安全公司奇 虎360合力舉辦，吸引了國內(nèi)外超過300名技術(shù)人員參會，包括安全廠商工程師、科研院所、大學(xué)等相關(guān)單位人士。