Google Chrome….quanto è sicuro?

Analizzare la sicurezza di un prodotto Open come il browser di Google prevede una analisi del codice sorgente in tutte le sue parti.

Un compito difficile e molto lungo che sicuramente viene eseguito in modo scrupoloso dai programmatori Google ma che, grazie al modello di sviluppo open del progetto, può essere eseguito da qualsiasi esperto di sicurezza che vuole dare una mano al progetto del browser targato BigG.

Una prima valutazione della sicurezza del browser può però essere data attraverso uno studio concettuale, e non solo, del software.

Chrome è stato concepito per ottenere un browser veloce, sicuro e multi piattaforma; il modello concettuale di sicurezza applicato al progetto è sicuramente vincente, ogni singola pagina web è un processo separato all’interno del programma quindi rendering, spazio di memoria, strutture dati globali, token di accesso, scheda URL e tutto il resto sono separati per ogni singola pagina visualizzata.

Questo limita il campo di azione di un possibile codice maligno alla sola tab riguardante il processo stesso la quale può essere considerata come una istanza di sistema del browser stesso infatti lo stesso software presenta una propria utility per la gestione dei processi interni allo  stesso.

Volendo fare una paragone estremo, ma ovviamente non corretto, possiamo dire che il browser si comporta come una macchina reale dove ad ogni sito aperto corrisponde una macchina virtuale che ne garantisce il corretto accesso ed il suo funzionamento.

Non mancano comunque delle riserve sul software; potrebbe essere discutibile la scelta di Google di produrre un browser che per essere installato non richiede privilegi di amministratore, in questo caso il controllo da parte dei gestori di grandi reti è sicuramente molto difficile.

Con l’installazione del prodotto viene installato anche un programma per la gestione degli update di tutti quei software prodotti da Google, l’applicazione è totalmente trasparente all’utente e si prende in carico la gestione degli aggiornamenti del browser e di tutti gli altri prodotti.

Se da un lato la funzionalità potrebbe essere lodevole, visto che tiene il sistema sempre aggiornato con le ultime patches di sicurezza per il software, si potrebbe anche percepire una forma mancato controllo sulla propria macchina.

Lodevole invece la macchina vituale java denominata V8, un sistema sicuramente veloce che protegge anche in modo efficace dai fastidiosi pop-up.

Anche se efficiente ci sono dei problemi di maturità per questo componente che sicuramente verranno però risolti al più presto.

Una delle funzionalità che è possibile apprezzare sul nuovo browser è la modalità di navigazione anonima, una funzione che potrebbe salvare molti utenti da tentativi di phishing o altre subdole minacce che è possibile incontrare sul web.

Ma ora è giunto il momento di mostrare il rovescio della medaglia visto che non siamo in presenza di un software perfetto (e possiamo dire che nessun software è perfetto).

Per prima cosa è possibile evidenziare come risulti impossibile escludere l’esecuzione dei tanto utili quanto pericolosi componenti javascript delle pagine web.

Tutti i browser concorrenti permettono di usufruire di una navigazione “più sicura” escludendo l’esecuzione di questi script ma Google Chrome no e questa potrebbe essere sicuramente vista come una grave mancanza verso il fronte sicurezza.

Volendo essere più pignoli le impostazioni di default riguardo alla navigazione non sono poi così sicure vista la totale accettazione di ogni tipo di cookie; le impostazioni che l’utente può gestire non sono così fini da permettere una gestione personalizzata ed oculata di tutti quei parametri che indubbiamente possono fare la differenza per quel che concerne la sicurezza.

Stessa considerazione può essere fatta per il passaggio da connessioni di tipo https a http, non ci sono avvertimenti per l’utente che può facilmente passare da una connessione protetta ad una non protetta senza accorgersi di nulla.

Altra nota dolente è la gestione delle password, oltre ad un pannello di gestione scarno e inefficace, è possibile carpire le credenziali di accesso usate in modo rapido e senza particolari difficoltà semplicemente con pochi click del mouse.

Sicuramente tutti gli altri browser presentano una componente molto più sicura con possibilità di gestione delle password ricorrendo alla propria autenticazione attraverso l’uso di una master password personale.

Anche se la propria quota di mercato è ancora ristretta gli hacker si sono gettati sul progetto in modo molto aggressivo e, pur considerando le varie patches di sicurezza rilasciate, siamo ancora di fronte ad un prodotto che presenta molti bug e numerose possibilità per quel che concerne exploit come confermato da siti sullo stile milw0rm.com.

E’ risultato fin troppo facile per gli hacker dimostrare come l’idea di separazione dei processi per ogni singola pagina visualizzata non sia stata implementata in modo così efficace da ritenere sicuro il prodotto, prototipi di attacco infatti hanno rivelato che il software è preda di blocchi ed errori che portano ad una negazione dei servizi o più semplicemente al blocco totale del pc.

I primi esempi di codice maligno sfruttavano falle di sicurezza note da molto tempo e, anche se gli errori sono stati prontamente corretti, queste possibilità denotano come il team di programmatori sia ancora lontano dal raggiungere l’esperienza dei loro diretti rivali in campo browser.

Concludendo è possibile vedere come un ottimo progetto, concettualmente estremamente sicuro ed innovativo, possa soffrire a causa di scelte poco lungimiranti o inesperienza degli addetti ai lavori.

Sicuramente non è da considerare lo stesso come un fallimento ma piuttosto si potrà osservare come un approccio di sviluppo Open del software porterà ad un prodotto che sul lungo periodo si rivelerà come vincente e soprattutto atto ad una navigazione sicura.

Non scordiamoci che il software è ancora in versione beta e speriamo che, come quasi la totalità dei progetti Google, questa beta non duri in eterno.

Ciao a tutti.