Il team di sicurezza di Chrome ha affermato che è disposto a rallentare leggermente il browser se ciò significa che il compromesso è un browser molto più sicuro.
Indicando le cifre precedenti secondo cui il 70% di tutti i problemi di sicurezza sono legati alla sicurezza della memoria, il team ha affermato in un post sul blog che stava esaminando tre approcci: controlli in fase di compilazione, controlli in fase di esecuzione e utilizzo di un linguaggio sicuro per la memoria.
Grazie all'uso del C++, la prima opzione non era possibile, ma cercava soluzioni come MiraclePtr per il controllo del runtime.
“MiraclePtr previene i bug use-after-free mettendo in quarantena la memoria a cui è ancora possibile fare riferimento. Su molti dispositivi mobili, la memoria è molto preziosa ed è difficile risparmiarne un po' per una quarantena”, ha affermato il team.
“Tuttavia, MiraclePtr ha la possibilità di eliminare oltre il 50% dei bug use-after-free nel processo del browser: un'enorme vittoria per la sicurezza di Chrome, in questo momento.”
Allo stesso tempo, il browser sta continuando a studiare come integrare il linguaggio Rust per consentire controlli in fase di compilazione che successivamente non influiscano sulle prestazioni.
“Ci sono domande aperte sulla possibilità di far funzionare abbastanza bene C++ e Rust insieme”, ha affermato il team.
“Anche se domani iniziassimo a scrivere nuovi componenti di grandi dimensioni in Rust, è improbabile che eliminiamo una percentuale significativa di vulnerabilità di sicurezza per molti anni. E possiamo rendere i confini del linguaggio abbastanza puliti da poter scrivere parti di componenti esistenti in Rust? Non lo sappiamo ancora. ”
Il team ha affermato che sta provando un utilizzo limitato di Rust, ma questo deve ancora arrivare alle build di produzione di Chrome.
Inventato da Mozilla, Rust è stato utilizzato in alcune parti di Firefox dal 2016 e il team Android di Google ha spinto per introdurre Rust nel kernel Linux.
Copertura correlata
Google's Il browser Chrome sta per diventare molto più veloceGoogle patch due zero-day di ChromeChrome 91 avviserà gli utenti durante l'installazione di estensioni non attendibiliDevi salvare un sacco di schede? Chrome lo farà presto per te
Argomenti correlati:
Google Security TV Data Management CXO Data Center 