Una notizia che sorprenderà alcuni, mentre lascerà indifferenti altri che si aspettavano qualcosa del genere: secondo uno studio di Accuvant, nota azienda di analisi di sicurezza software, Google Chrome sarebbe il browser più sicuro esistente, al momento, sulla scena informatica. C’era da aspettarselo: Chrome, d’altra parte, è rimasto inespugnato per tre anni di fila al Pwn2Own, cosa mai successa agli altri browser concorrenti.
Per onor di cronaca c’è da puntualizzare che lo studio è stato commissionato all’azienda dallo stesso team Google, anche se ci è stato assicurato che i risultati non sono stati in alcun modo manipolati, tantomeno influenzati dall’azienda di Mountain View.
A prova di ciò il team Accuvant ha reso noto il dossier di poco più di cento pagine inerenti lo studio, nonchè gli strumenti utilizzati per effettuare le varie tipologie di test cosicchè, per scetticismo o curiosità, qualsiasi sviluppatore potesse rieseguirli e giungere alle conclusioni in maniera totalmente autonoma. Potrete trovare tutto l’occorrente in questa pagina.
Tornando a noi, ho letto molto sommariamente l’interessante dossier: i test sono stati eseguiti in parallelo su Internet Explorer (9), Firefox (5.0.1) e Google Chrome (12/13), utilizzando i sistemi operativi Windows 7 x32, Linux e Mac OSX. Dai test si evince chiaramente che Chrome è meno vulnerabile e più performante rispetto ai due concorrenti.
Da premettere che nessuna applicazione di tale portata è invulnerabile, più il codice è complesso più si presenta il rischio – per i programmatori – di incappare in errori di varia natura: il test, infatti, tra le tante cose tende a sottolineare che Google Chrome è il browser con la sandbox meno permissiva. Ciò vuol dire che, seppure dovesse essere violato, Chrome lascia all’utente malizioso (colui che di fatto viola la sicurezza del browser) ben poche possibilità di accedere ai dati personali o ai dati e alle funzionalità del sistema. Sandbox moderatamente più permissiva è risultata essere quella di Internet Explorer e, attenzione attenzione, il browser che permette il maggior numero di operazioni una volta violato è - ahimè – Mozilla Firefox, in quanto non ha implementato il meccanismo della Sandbox. Ecco un grafico che spiega la situazione:
Sandbox test: Google Chrome permette l'esecuzione completa di una sola operazione, il blocco parziale di una sola operazione, bloccando totalmente le restanti 13. Internet explorer permette l'esecuzione completa di 6 operazioni, il blocco parziale di 7 ed il blocco totale di due. Firefox permette l'esecuzione completa di 9 operazioni ed il blocco parziale di 6.
Altre metriche d’analisi adottate da Accuvant sono state:
- la rapidità con cui le vulnerabilità scoperte vengono patchate (tutti e tre i browsers sono risultati, in questo caso, pari);
- la completezza delle API per la navigazione “sicura” (altresì conosciuta come navigazione anonima, e, anche in questo caso, i tre browsers sono risultati perfettamente pari);
- la completezza implementativa degli add-ons presenti (ne è stato usato un campione, ed anche in questo caso risultano pari);
- la capacità dei browsers di gestire gli attacchi JIT (o attacchi just-in-time, eseguiti tramite del codice client-side – ad es. Javascript – che viene compilato a run-time ed eseguito direttamente sulla macchina su cui gira il browser); anche in questoattacchi just-in-time caso è venuto fuori come Chrome, grazie al meccanismo di sandboxing, sia in grado di limitare completamente i danni, seguito da Internet Explorer che li limita parzialmente, seguito a sua volta dal fanalino di coda Firefox che, non prevedendo il sandboxing, non li impedisce affatto.
Altro punto a favore di Chrome è la sicurezza degli add-ons, che non prevedono funzionalità di larga veduta come quelli di Firefox o di IE ma sono assolutamente più sicuri di questi. I peggiori risultano, questa volta, quelli di Internet Explorer, che talvolta permettono l’accesso alla clipboard o peggio ancora di creare nuovi processi: il passaggio di codice malizioso tra le varie applicazioni, in questo scenario, risulta oltremodo semplice.
Google Chrome ha risposto in maniera totalmente positiva ai tests eseguiti rispetto alle metriche utilizzate da Accuvant, seguito da Internet Explorer e, in ultimo, da Mozilla Firefox.
In sostanza i test di Accuvant hanno voluto evidenziare come i tre browsers, una volta exploitati, contribuiscono alla messa a rischio del sistema sottostante.
Peccato però nei tests non sia stato incluso anche il browser Safari: sarebbe stato decisamente interessante vedere il comportamento del primo della classe, confrontato con quello di un browser altrettanto performante. Chissà, forse saremo presto accontentati!
Intanto, per i dettagli aggiuntivi, vi invito ancora una volta a leggere lo study sheet che potrete trovare qui.