Versjon 63 av Chrome kom i går, og med den kom Google med en håndfull sikkerhetsforbedringer, hvorav flere i utgangspunktet bare er beregnet for bedriftskunder som administrerer pc-ene til de ansatte fra sentralt hold.
Men vi kan starte med et unntak først. Med den nye utgaven av Chrome vil trafikken mellom nettleseren og Gmail bli sikret med den aller nyeste versjonen av protokollen TLS (Transport Layer Security), altså versjon 1.3. Det er verdt å merke seg at arbeidet med TLS 1.3-spesifikasjonen ennå ikke er ferdig.
Les også: Microsoft ber kundene skru av TLS 1.0/1.1
Nytt forsøk
Dette er faktisk andre gang Google skrur på støtten for TLS 1.3 i Chrome. Forrige gang var i Chrome 56, som kom i januar i år. Mange brukere av datamaskiner som kommuniserer med internett via sentrale TLS-proxyer eller lokale antivirusprodukter, opplevde da problemer som kan ha vært forårsaket av dårlig TLS-implementering i proxyene. Resultatet var i alle fall at Google valgte å skru av TLS 1.3-støtten i Chrome igjen.
Google opplyser at selskapet har jobbet hardt for å omgå de kjente problemene, men at det fortsatt kan være problemer som selskapet ikke kjenner til. Mer om dette på denne siden.
Uansett er utrullingen av teknologien mer forsiktig denne gang, ved at det er Googles egen Gmail-tjeneste som TLS 1.3 er aktivert for i Chrome. Utvidet støtte for denne protokollen skal komme i 2018.
TLS 1.3 tilbyr både forbedret sikkerhet og raskere oppkobling, noe vi omtaler i denne saken.
Les også: Chrome fikk støtte for TLS 1.3. Det var ikke problemfritt
Isolerte nettsteder
En ny sikkerhetsfunksjon som lokalt kan aktiveres ved hjelp av et kommandolinjeflagg og sentralt med en Chrome-policy, er Site Isolation. Dette sørger for at alle ulike nettsteder som åpnes i nettleseren, alltid gjengis ved hjelp av separate prosesser. Dette skal være et enda sterkere skille enn den eksisterende sikkerhetssandkassen.
_logo.svg.png){kind=logo}
Ulempen med å aktivere slik isolasjon, er at minnebruken til Chrome økes med 10 til 20 prosent. Mange syns at Chrome bruker mer enn nok minne fra før, så dette er kanskje mest aktuelt på enheter med rikelig med systemminne.
Blokkering av utvidelser
Fram til nå har IT-administratorer kunne lage svarte- og hvitelister for hvilke Chrome-utvidelser som en virksomhet tillater at de ansatte benytter. Men en slik metode skalerer dårlig.
Derfor inkluderer Chrome 63 støtte for blokkering av utvidelser som krever visse tillatelser, for eksempel tilgang til filsystemet eller videokameraet. Illustrasjonen nedenfor hvordan dette kan kontrolleres ved hjelp av et sentralt verktøy. En oversikt over de aktuelle tillatelsene finnes på denne siden.
Sikrere autentisering
I neste versjon av Chrome, altså 64, skal Google inkludere støtte for autentiseringsprotokollen NTLMv2 i alle utgavene av Chrome, ikke bare Windows-utgaven som i dag. Fra og med Chrome 65 vil NTMLv2 være standardvalget, framfor NTMLv1.
NTLM er en Microsoft-spesifikk teknologi som blant annet sørger for automatisk innlogging på visse nettsteder eller tjenester via nettleseren, ved hjelp av brukerens Windows-akkreditiver (brukernavn og passord). NTMLv2 kom allerede med Windows NT 4.0 SP4. Den anses som sikrere enn førsteutgaven.
Penetrasjonstester: – Slik kan Windows-maskiner angripes og beskyttes
Dynamisk import
Chrome 63 inkluderer også en del ny funksjonalitet for utviklere. En ny mulighet er dynamisk import av JavaScript-moduler. Det innebærer at importen av JavaScript-filer kan skje når det under kjøringen faktisk er behov for dem, for eksempel avhengig av om brukeren er innlogget eller ikke, i stedet for statisk som i dag. Kodeeksempler finnes her. Fra før er det bare Apple Safari som har støtte for dette, men både Microsoft og Mozilla skal ha uttrykt seg positivt om denne muligheten.
En annen nyhet er støtten for Device Memory API, som kan opplyse webapplikasjoner om hvor mye minne (RAM) brukerenheten totalt er utstyrt med. Dette gjør det for eksempel mulig å levere en lettere utgave av webapplikasjonen til enheter med så lite minne at den vanlige utgaven fungerer dårlig.
Disse og flere andre Chrome-nyheter for utviklere er omtalt i dette blogginnlegget.
For øvrig har Google fjernet intet færre enn 37 sårbarheter med Chrome 63. Det alene er god nok grunn til å oppdatere nettleseren, selv om ingenting tyder på at sårbarhetene har blitt utnyttet i faktiske angrep.
Leste du denne? Mer enn hvert tredje nettsted laster sårbare JavaScript-biblioteker
