Open Source im professionellen Einsatz

Google Chrome 23: Linux bietet die beste Sicherheit

13.09.2012

Googles Chrome-Entwickler nehmen sich der Sicherheit des Open-Source-Browsers an und wollen die Kombination Chrome-Linux dank der Seccomp-BPF-Filter des Kernel 3.5 zur sichersten Variante machen.

244

Der Chrome-Entwickler Will Drewry schildert in einer Mail auf der Chromium-Entwickler-Mailingliste, wie das Filtern von System Calls im neuen Linux-Kernel funktioniert und bietet ein Patch an, das die Funktion integriert. Mit diesen Filtern, die der Kernel 3.5 mitbringt und die beispielsweise bereits in Ubuntu 12.04 LTS integriert sind, lassen sich Systemaufrufe analysieren und selektiv verweigern.

Berkeley-Style: BPF

Die Filter arbeiten nach dem Berkeley-Packet-Filter-Konzept (BPF), weshalb sie auch als Seccomp-BPF bezeichnet werden (SECure COMputing Berkeley Packet Filter). Über diesen Mechanismus können dann andere Programme prüfen, ob und wie die Zugriffe erlaubt sein sollen oder sie verweigern. Ein Beispielprogramm für den Einstieg, das diese Filter nutzt, findet sich hier.

Next Generation Sandbox für Linux

Blogposts wie der von Julien Tinnes sprechen dabei bereits von der "next generation sandbox" für Linux-Systeme, auch wenn die Seccomp-Dokumentation ausführlich erklärt, warum der Ansatz nichts mit einer klassischen Sandbox zu tun habe.

Die kürzlich auf der Chrome-Entwickler-Mailingliste vorgestellte Version 23.0.1255.0, schreibt Tinnes, nutze bereits die Seccomp-BPFs und spezielle BPF-Programme, um System Calls zu bewerten. Dieser Ansatz ermögliche neuartige Sandbox-Konzepte, die eben vom bisherigen Ansatz (Reduzieren der Angriffsfläche) hin zu den interessantern Möglichkeiten einer "echten Zugriffssteuerung", beispielsweise über Mandatory Access Controls.

Nirgends so sicher wie auf Linux

Letzten Endes bedeute das nicht weniger, als dass der Browser Chrome auf Linux deutlich sicherer gemacht werden könne als auf allen anderen Betriebssystemen, urteilt der Internet-News-Blogger Sean Michael Kerner.

 

 

 

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.