Google Chrome OS安全防护 sandbox与自动更新

CNET科技资讯网11月25日国际报道 通过网络程序发动的攻击是当今最大的威胁。因此，安全防护也是Google的Chrome OS的重要部分。

一如预期，Google的Chrome OS有许多防护功能和概念，都与Chrome浏览器相同。该公司的集团产品经理Caesar Sengupta说：“浏览器就是操作系统。我们扩张了浏览器，加入操作系统的功能。”

Chrome OS结合操作系统层级的防护和缓冲技术，以限制攻击发生，或攻击行动影响的程序代码数量，并减少攻击成功的机率。Sengupta说：“最大的安全冲击是所有应用程序都在浏览器内执行。”

Chrome相当依赖sandbox（沙箱，沙盒）技术来区分不同程序和应用程序。如此可限制应用软件与OS核心的互动。举例来说，在传统的操作系统，若应用软件发生错误，可能导致电脑当机或影响其他执行中的程序。

但Sengupta说：“假如每个东西都经过sandbox（安全程序设定），就很难发生那种情况。”许多电脑受损，都是因为使用者打开看似无害的文件，释放出病毒或恶意软件。

Sengupta表示，用Chrome，“应用软件无法直接下载任何程序代码然后执行”。根据Chrome的安全概要，Chrome有一个已验证开机程序，利用加密技术确保其Linux核心、非挥发性系统内存，和其硬盘分割表在系统开机时不会受损。

Sengupta说：“目前在你的传统操作系统上，任何一种程序都能执行，因此很难预测任一程序的作用。在Chrome，因为整个操作系统基本上是由Google控制，我们可以有很多作法确保它安全。”

若有某个应用软件能够突破浏览器sandbox，通过核心的强化和处理基础设施，进而改变操作系统的某个部分，使用者下一次开机时，那些改变将被删除。Sengupta说：“系统一旦侦测到任何没有经过Google签署的变更，将立刻警告使用者，并开始自清。”

清理过程也比传统操作系统容易，因为Chrome的系统资料与使用者偏好、系统设定，和存储在Google云端服务器的快取资料分开。

另一方面，Chrome将自动更新取得最近的软件和补丁程序，不影响使用者的操作。使用者不需担心没有即时安装更新而遭受攻击。

此外，Chrome浏览器的反钓鱼技术也纳入Chrome OS。Google将在明年正式推出Chrome OS前，提供详细的设计说明，让安全专家检查是否有漏洞。

但Google也舍弃若干其他操作系统目前支持的安全和网络技术。Google将继续观察生物验证技术，但认为其成本/可靠度尚未达到一定程度。智能卡和USB加密锁是“有趣的技术，但我们不想让使用者分心注意一个实体的独立项目。”

Google对蓝牙也没兴趣。安全概要写道：“蓝牙对我们的登入/屏幕锁程序代码增加一整个可能造成错误的新软件堆叠，而其配搭协定的安全性过去也备受批评。”