Google «Native Client» er sikkerhetsklarert

Prosjektet skal gjøre nettleseren Chrome til OS-uavhengig virtuell maskin for all x86-kode.

I tillegg til et nytt Linux-basert klientoperativsystem, døpt «Chrome OS», kunngjorde Google i dag at et annet prosjekt med brodd mot Windows har passert en viktig milepæl: Google Native Client har fått en form for sikkerhetsklarering.

Da Native Client (internt hos Google forkortes den til NaCl, altså den kjemiske betegnelsen på bordsalt) ble presentert for første gang i desember i fjor (se Slik skal Google revolusjonere alle nettlesere), ble prosjektet presentert som en plugin for å gi webapplikasjoner bedre ytelse gjennom direkte tilgang til pc-ens maskinvare.

De siste månedene er prosjektet endret.

Formelt er hensikten fortsatt å tillate kjøring av x86-kode i webapplikasjoner, uavhengig av nettleser og operativsystem. Ideen om å gjøre dette gjennom en plugin, er imidlertid forlatt, går det fram av en oppdatering sendt ut i juni. Her skriver prosjektleder Brad Chen at man i stedet vil satse på å bygge Native Client direkte inn i nettlesere. Med mindre andre nettleserleverandører går med på dette, vil Native Client følgelig være en utvidelse av Googles egen nettleser Chrome, for å gjøre den i stand til å kjøre kompilert kode som webapplikasjon, like raskt som om den samme koden var installert direkte på pc-en.

Med andre ord: Dersom Native Client lykkes, vil Chrome være en virtuell maskin for alle applikasjoner beregnet på å kjøre på x86-baserte pc-er, uavhengig av underliggende operativsystem.

Sikkerheten spilte en viktig rolle i beslutningen om å integrere Native Client i Chrome, framfor å tilby den som plugin. Målet var å gjøre bruken av NaCl minst like sikker som Javascript.

Sikkerhetsrevisjonen av Native Client ble ordnet gjennom en konkurranse utlyst i februar.

Resultatene ble kunngjort i går. Over 600 IT-eksperter deltok. Prosjektleder Chen skriver – se Native Client Security Contest: The results are in! – at han er svært fornøyd med resultatene.

– Deltakerne fant lus kunne blitt utnyttet ganske smart, men oppdaget ingen grunnleggende lyter i hvordan Native Client er satt sammen.

Fem vinnere ble kåret. På første plass kom IBM-forsker Mark Dowd og uavhengig forsker Ben Hawkes, for anledningen kalt «Team Beached As». De avdekket hele tolv sårbarheter.

De alvorligste sårbarhetene som ble avdekket i konkurransen kunne gjort det mulig å sette den interne «sandkassen» i Native Client ut av spill. Sandkassen spiller en nøkkelrolle i sikkerheten, siden det er der eventuelt ondsinnet kode avsløres.

Innen utgangen av året skal Native Client integreres i utviklerutgaven av nettleseren Chrome.

    Les også:

Til toppen