Google hat bei der Entwicklung des Chrome den unschätzbaren Vorteil, den Browser von Grund auf neu zu gestalten, ohne Altlasten mitzuschleppen. Vor allem mit dem offenen Umgang mit Sicherheits-Informationen im Google-Chrome-Blog und dem frei zugänglichen Source-Code hat sich Google einen ordentlichen Vertrauensvorschuss erarbeitet.
Das Sicherheits-Modell, das Google verfolgt, ist exzellent. Chrome trennt das Hauptprogramm des Browsers, den Browser-Kernel, vom Rendering-Prozess, der wiederum auf der quelloffenen "Webkit Engine" basiert. Webkit ist eine Rendering-Bibliothek, die Apple entwickelt hat und in seinem Web-Browser Safari verwendet.
Der Browser-Kern entfernt zum Start alle Privilegien. Der auf Null gesetzte SID (Security Identifier) in Windows Vista, der den Anwender als nicht vertrauenswürdig einstuft, sowie verschiedene restrict- und deny-SIDs werden abgeschaltet. Unter Windows Vista läuft Chrome im Medium-Modus der Windows-Integrity-Control. Zum Vergleich: Der Internet Explorer startet im Low-Modus.
Jeder Website räumt Chrome einen separaten Rendering-Prozess und Speicherraum sowie eigene globale Datenstrukturen, Zugangs-Token, Tab, Url-Bar, Desktop usw. ein. Chrome öffnet bis zu zwanzig Prozesse, und zwar für jede Web-Seite einen und betreibt ein Prozesse-Sharing zwischen den Web-Sites. Redering-Prozesse laufen mit hohen Restriktionen. Windows Vista betreibt die Rendering-Prozesse von Chrome ebenso wie die des Internet-Explorers im geschützten Modus (Protected Mode). Allerdings nutzt der Google-Browser das erstmals in Vista implementierte Zugriffskontrollmodell Mandatory Integrity Control (MIC) sehr viel vorsichtiger als Microsoft selbst. Beispielsweise versucht Google zu verhindern, dass Browser-Prozesse mit niedriger Integrität höher klassifizierte Ressourcen lesen dürfen. Die Grundeinstellung von Vista verhindert in diesem Fall nur die Modifikation der Ressourcen.
Sowohl der Kernel als auch die Rendering Prozesse betreibt der Browser mit aktivierter DEP (Data Execution Prevention) und ASLR (Address Space Layout Representation). Die Virtualisierung schaltet das Progamm standardmäßig aus. Alle Zusatz-Tools laufen in getrennten Prozessen mit mittlerer oder hoher Integrität. Dennoch verfügt Chrome über einen eigenen Task-Manager sowie eigene Informationsbereiche, die Angaben zur Speicherbelegung und CPU-Statistik bietet. Das vorläufige Fazit angesichts des zugrunde liegenden Security-Modells lautet: Chrome ist glänzend.
Chromes Stärken und Schwächen
Stärken:
+ ein überzeugendes Sicherheitsmodell;
+ von einander getrennte Rendering-Prozesse;
+ restriktiver Umgang mit Privilegien;
+ Prozesse laufen mit hohen Restriktionen;
+ kontinuierliche Patch-Updates;
+ begrenzte Manipulationsmöglichkeiten durch JavaScript;
+ Antiphishing-Funktionen;
+ Surfen hinterlassen keine Spuren im Web;
Schwächen:
- besonders gravierend: JavaScript lässt sich nicht abschalten;
- Chrome-Installation ist ohne Admin-Rechte möglich;
- schlechte Verwaltungsmöglichkeiten;
- keine definierbaren Sicherheitszonen;
- Schwächen in der Passwort-Verwaltung;
- bedenkliche Grundeinstellungen (beispielsweise werden alle Cookies zugelassen).