12月14日,360公司承办的国际顶级安全技术峰会——SyScan360在北京举行,微软、谷歌、McAfee等公司和安全组织成员现身发表最新安全研究成果。与之前演讲者侧重攻击技术不同,360浏览器技术总监任寰发表了《Chrome安全架构的进化》主题演讲,从产品安全防守角度进行了总结和分析。
任寰自2006年起从事Google Chrome浏览器的设计和开发,是Chrome浏览器Windows版和Android版多个模块(多进程架构、网络、开发基础设施、稳定性分析、插件、视频)的开发负责人。他现任360浏览器技术总监,负责360浏览器开发工作。
任寰介绍了Chrome安全机制的设计思想、基本原理,以及发展演变,并对其有效性进行了评估。据他介绍,Chrome浏览器的安全机制主要包括:渲染进程、扩展进程、GPU隔离、插件的进程以及GPU进程。
谈到Chrome安全机制的演变历史,任寰介绍最初版本的Chrome并没有沙箱,从2007年至2010年间依次出现渲染沙箱、扩展系统、GPU渲染机制和插件沙箱。
任寰介绍了浏览器插件的一些弱点,指出插件扩展给浏览器安全性带来很大风险。据介绍,研究成果显示,手动检查50个流行的以及50个任意选择的插件,40个插件中发现了高达70个漏洞,由插件引起的漏洞风险比例非常高。
SyScan前瞻信息安全技术年会是国际知名的信息安全会议之一,自2004年在新加坡首次举办以来已成功了8次会议。今年SyScan首次登陆北京,携手中国第一大互联网安全公司奇虎360合力举办,吸引了国内外超过300名技术人员参会,包括安全厂商工程师、科研院所、大学等相关单位人士。
