Google definiert Sicherheitsziele für Chrome

Google hat sieben grundsätzliche Vorgaben für einen sicheren Browser veröffentlicht, die bislang nur für die interne Entwicklung genutzt worden sind. „Steh nicht im Weg“ lautet der erste Grundsatz des Teams, das für die Sicherheit von Chrome zuständig ist. Benutzerfreundlichkeit, Leistungsfähigkeit und Sicherheit müssen demnach gut ausbalanciert sein: „Wenn wir es richtig machen, dann geht das alles Hand in Hand und ist für den Nutzer fast unsichtbar. Wir liefern transparente Updates aus, um übermäßige Nachfragen und Dialoge zu vermeiden, die den Anwender letztlich nur dazu bringen, Sicherheitswarnungen zu ignorieren.“

Die Sicherheitsarchitektur von Chrome ist mehrstufig ausgelegt, um wirksame Angriffe über einzelne Einfallstore zu vermeiden. Das Sandboxing gilt dabei als die wichtigste Abwehrebene, aber nicht die einzige. Sicherheit müsse in der gemeinsamen Verantwortung aller beteiligten Entwickler gesehen werden, weshalb sie auch nicht als nur als ein Feature oder eine Erweiterung zu realisieren sei.

Eine weitere Richtlinie fordert schnellstmögliche Reaktionen – unabhängig davon, ob eine Schwachstelle intern aufgedeckt oder von dritter Seite berichtet wurde. Google nimmt für sich in Anspruch, branchenführend schnell zu sein, steht aber in dieser Hinsicht nicht allein: Mozilla informiert ebenfalls mit hoher Frequenz über seine Sicherheitsupdates für seinen Browser Firefox, und Microsofts Internet Explorer wird am „Patch Tuesday“ regelmäßig mit Aktualisierungen bedient.

Laut Google verbietet es sich weiterhin, Bedrohungen herunterzuspielen oder Schwachstellen zu leugnen und durch „stille“ Fixes zu beheben: „Wir geben Nutzern und Administratoren die Informationen, die sie benötigen, um Risiken einschätzen zu können. Wir dokumentieren unseren Umgang mit Sicherheitsproblemen öffentlich, und wir enthüllen alle Schwachstellen, die in Chrome und abgeleiteten Produkten behoben wurden.“ Zu Letzteren gehört etwa SRWare Iron.

Wichtig sei auch die Zusammenarbeit mit Standardisierungsgremien und anderen Browserherstellern, denn Sicherheit sei kein Nullsummenspiel. Ein Browser könne nicht auf Kosten anderer erfolgreich für Sicherheit sorgen. Alle seien letztlich besser dran, wenn die besten Sicherheitstechniken überall zum Einsatz kämen.

Nicht zuletzt legt Google Wert auf die Beiträge, die von unabhängigen Sicherheitsexperten kommen, und setzt sogar Preisgelder für die Entdeckung von Schwachstellen aus. Dazu sagte Chris Wysopal, CTO von Veracode, gegenüber ZDNet: „Indem Google die Sicherheits-Community engagiert, wird es selbst zu einem Teil dieser Community. So sollten mehr Technologieunternehmen herangehen.“ Ziel sei eine gute Zusammenarbeit. „Microsoft war Vorreiter für diese Herangehensweise, aber Google ist mit seinen Prämien für entdeckte Bugs noch einen Schritt gegangen.“

Der Suchkonzern zahlte bisher über 200.000 Dollar für gemeldete Sicherheitsprobleme aus, die beim Browser Chrome sowie seiner Open-Source-Grundlage Chromium entdeckt wurden. Die so geförderten Bug-Meldungen halfen laut Google, Schwachstellen weit schneller zu beheben.