12月14日,在360SyScan国际安全会议上,360浏览器技术总监任寰分享了Chrome浏览器安全架构的演化历程。他强调,任何程序都可能出现漏洞,为了尽可能降低漏洞风险,软件应以最小权限执行任务,对高权限任务则隔离运行,“降权”和“隔离”就是浏览器安全防护的关键。在加入奇虎360公司之前,任寰曾在Google工作五年,是Chrome浏览器Windows版和Android版多个模块的开发负责人。
图:360技术总监任寰360SyScan现场讲解Chrome安全
任寰详细解释了Chrome浏览器的多进程架构,包括主进程(拥有最高权限)、渲染进程、扩展进程、插件以及GPU进程,这些进程相辅相成,共同搭建了Chrome安全平台。得益于渲染进程的隔离机制,浏览器的运行效率及安全性都得以提升。
据任寰介绍,浏览器恶意扩展未来可能成为重要的安全威胁。加利福尼亚大学伯克利分校检测显示,其选择了50个流行的以及50个任意选择的插件,最终的安全检测结果为其中40个插件中发现了70个漏洞。
任寰表示,在Chromium发展过程中,360也在开源社区中提交贡献了大量代码,最初是向Google报告Bug漏洞,近期也有360贡献的核心代码加入了Chromium。
此次360SyScan大会邀请了谷歌、微软、McAfee等企业的重量级讲师与参会者交流技术,是2012年安全领域国际顶级会议。作为承办方,360公司旗下已有360安全浏览器与极速浏览器两款浏览器产品,不仅满足了用户快速上网的需求,更可以提供安全的上网体验,快速响应拦截挂马及钓鱼网站。
