Versi mendatang dari Google Chrome (terbuka di tab baru) mungkin berjalan lebih lambat untuk membantu menjaga keamanan pengguna, tim di belakang browser web telah mengungkapkan.
Mengutip penelitian sebelumnya (terbuka di tab baru) yang mengungkapkan bahwa 70% dari semua masalah keamanan di Chrome berkaitan dengan bug keamanan memori, pengembang mencantumkan berbagai pendekatan yang dapat dilakukan untuk meningkatkan keamanan browser, termasuk menerapkan sedikit penalti kinerja pada versi mendatang jika ini membantu membuatnya lebih aman.
Di sebuah pos bersama (terbuka di tab baru)anggota tim keamanan Chrome menyebut keamanan aplikasi sebagai “permainan kucing dan tikus”, sebelum membahas pendekatan yang tersedia dan berargumen bahwa solusi praktis apa pun akan menghasilkan kinerja yang sedikit meningkat.
“Dalam setiap kasus, kami berharap untuk menghilangkan sebagian besar dari bug keamanan kami yang dapat dieksploitasi, tetapi kami juga mengharapkan beberapa penalti kinerja,” tulis para peneliti.
Keamanan krom
Secara umum, pemeriksaan waktu kompilasi, pemeriksaan waktu proses, dan penggunaan bahasa yang aman untuk memori, adalah tiga pendekatan yang menurut alasan pengembang dapat membantu membuat Chrome lebih aman.
Di dunia yang ideal, mereka mengatakan ingin membuat C++ lebih aman pada waktu kompilasi, jika bukan karena keterbatasan desain bahasa.
“Jadi, kebanyakan kita hanya memiliki opsi 2 dan 3 – membuat C++ lebih aman (namun lebih lambat!) atau mulai menggunakan bahasa yang berbeda. Keamanan Chrome sedang bereksperimen dengan kedua pendekatan ini,” jelas para pengembang.
Pengembang mencantumkan MiraclePtr sebagai salah satu solusi yang akan memainkan peran penting dalam prakarsa keamanan Chrome di masa mendatang.
Meskipun solusinya melibatkan pengalokasian sebagian dari memori, yang merupakan sumber berharga di a perangkat seluler (terbuka di tab baru)solusinya dapat membantu menghilangkan lebih dari setengah bug penggunaan setelah bebas di browser, menurut pengembang.
Karat untuk keselamatan
Pada saat yang sama, tim terus melihat bagaimana menggunakan bahasa yang aman untuk memori, seperti Karat (terbuka di tab baru)untuk bagian Chrome di masa mendatang.
Raksasa pencarian memiliki beberapa pengalaman menggunakan Karat (terbuka di tab baru) untuk tujuan ini karena tim keamanan Android sedang bereksperimen menggunakan bahasa dalam kode sistem tingkat rendah sistem operasi seluler untuk mengatur jumlah kerentanan keamanan berbasis memori Android.
“Kami telah mulai melakukan eksperimen Rust terbatas yang tidak dapat diakses oleh pengguna di pohon kode sumber Chromium, tetapi kami belum menggunakannya di versi produksi Chrome – kami masih dalam tahap percobaan,” kata para peneliti, menjelaskan bahwa penggunaan Rust membawa kerumitannya sendiri.
