I tillegg til et nytt Linux-basert klientoperativsystem, døpt «Chrome OS», kunngjorde Google i dag at et annet prosjekt med brodd mot Windows har passert en viktig milepæl:
Google Native Client har fått en form for sikkerhetsklarering.
Da Native Client (internt hos Google forkortes den til NaCl, altså den kjemiske betegnelsen på bordsalt) ble presentert for første gang i desember i fjor (se
Slik skal Google revolusjonere alle nettlesere), ble prosjektet presentert som en plugin for å gi webapplikasjoner bedre ytelse gjennom direkte tilgang til pc-ens maskinvare.
De siste månedene er prosjektet endret.
Formelt er hensikten fortsatt å tillate kjøring av x86-kode i webapplikasjoner, uavhengig av nettleser og operativsystem. Ideen om å gjøre dette gjennom en plugin, er imidlertid forlatt, går det fram av en
oppdatering sendt ut i juni. Her skriver prosjektleder Brad Chen at man i stedet vil satse på å bygge Native Client direkte inn i nettlesere. Med mindre andre nettleserleverandører går med på dette, vil Native Client følgelig være en utvidelse av Googles egen nettleser Chrome, for å gjøre den i stand til å kjøre kompilert kode som webapplikasjon, like raskt som om den samme koden var installert direkte på pc-en.
Med andre ord: Dersom Native Client lykkes, vil Chrome være en virtuell maskin for alle applikasjoner beregnet på å kjøre på x86-baserte pc-er, uavhengig av underliggende operativsystem.
Sikkerheten spilte en viktig rolle i beslutningen om å integrere Native Client i Chrome, framfor å tilby den som plugin. Målet var å gjøre bruken av NaCl minst like sikker som Javascript.
Sikkerhetsrevisjonen av Native Client ble ordnet gjennom en konkurranse utlyst i februar.
Resultatene ble kunngjort i går. Over 600 IT-eksperter deltok. Prosjektleder Chen skriver – se
Native Client Security Contest: The results are in! – at han er svært fornøyd med resultatene.
– Deltakerne fant lus kunne blitt utnyttet ganske smart, men oppdaget ingen grunnleggende lyter i hvordan Native Client er satt sammen.
Fem vinnere ble kåret. På første plass kom IBM-forsker Mark Dowd og uavhengig forsker Ben Hawkes, for anledningen kalt «Team Beached As». De avdekket hele tolv sårbarheter.
De alvorligste sårbarhetene som ble avdekket i konkurransen kunne gjort det mulig å sette den interne «sandkassen» i Native Client ut av spill. Sandkassen spiller en nøkkelrolle i sikkerheten, siden det er der eventuelt ondsinnet kode avsløres.
Innen utgangen av året skal Native Client integreres i utviklerutgaven av nettleseren Chrome.
