首页 >新闻 > 科技 > 内容

安全专家祝福谷歌本地客户端技术

科技 2019-11-22 22:52:20

谷歌(Google)周二宣布,两名安全研究人员在赢得了一个针对谷歌本地客户端技术的安全而设计的错误寻线比赛后,正在将谷歌的现金奖分配给谷歌。

尽管他们在代码中发现了十几个bug,这使得基于Web的应用程序能够运行本地代码并利用计算机的处理能力,但其中一位获胜者预测,该技术在部署时将是安全的。

IBMInternetSecuritySystems的XForce研究工程师MarkDowd说:“实施的质量非常好。”“每个人在这里和那里都犯了一些错误,比赛的目的是消除这些错误。\r\r\r\r\r\r\n""

NativeClient的谷歌工程经理BradChen说,Dowd和他的合作伙伴BenHawkes在新西兰的独立安全研究员,发现了最多的安全漏洞和最严重的22个bug。

例如,更严重的错误将允许攻击者完全禁用技术的内沙箱(根据Chen)。

Dowd说:“如果能在生产网站上找到这些漏洞,你就可以将其中的一些漏洞转化为漏洞,并获得对系统的完全控制。”但是“这不是一个生产版本,所以在这一点上没有一个庞大的用户基础,你可以利用。”

他说:“我知道他们想在进入黄金时段之前再推出一些功能,但核心技术本身相当有趣,如果他们能跟上它的安全方面,我认为.它将以安全的方式部署在互联网上。”

这项技术在去年12月被显示为一项研究项目,并在上个月推广到开发平台,是试图使计算机能够直接在处理器上运行从互联网下载的Web应用程序,并以安装在计算机上的"天然的"软件的速度运行Web应用程序。

当前的Web应用程序编程环境(如闪存、JavaScript和ActiveX)提供了有限的处理能力,并已经历了其自身的实现缺陷,这些缺陷可以被利用。

对于本地客户端,Google面临着从相对新的方法平衡更高性能和新的安全挑战的挑战。这种称为静态分析的方法涉及在运行之前筛选软件,以确保它没有执行任何范围的禁止冒险行为。

陈说,谷歌希望在今年年底之前将本地客户端整合到Chrome浏览器的开发者版本中,让更广泛的开发社区参与进来。

大约有600人参加了这次比赛,该比赛于2月宣布,由9名专家小组判断。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。