Przeglądarka Google Chrome, której kolejna wersja jest już dostępna, była tworzona od podstaw z myślą o zapewnieniu bezpieczeństwa jej użytkownikom. Czy jednak spełnia te założenia?

Każda kolejna otwarta w przeglądarce strona internetowa posiada własny proces, przydzieloną pamięć, żeton dostępu, zakładkę, pasek URL, pulpit itd. Obecnie Chrome może udostępnić do 20 oddzielnych procesów, a zakres działań procesów renderujących jest ściśle przestrzegany.

Zarówno jądro przeglądarki, jak i proces renderujący uruchamia się z opcjami DEP (Data Execution Prevention) i ASLR (Address Space Layout Randomization), a także zablokowaną wirtualizacją. Wszelkie dodatki Chrome zostają uruchomione w jednym procesie.

Dyskusyjnym wyborem jest decyzja Google o instalacji Chrome bez potrzeby posiadania praw administratora. Przeglądarka instaluje również aplikację googleupdate, umożliwiającą automatyczną aktualizację przeglądarki do nowszych wersji.

Na uwagę zasługuje też zbudowanie przez zespół Google własnej wirtualnej maszyny JavaScriptu, zwanej V8. Posiada ona własny proces zarządzania pamięcią, kontroler kodu źródłowego i debugger.

Opisywana przeglądarka posada również wady. Jedną z nich jest brak możliwości blokady JavaScriptu, a ponieważ duża część szkodliwych programów tworzona jest w tym właśnie języku, może to stanowić zagrożenie dla jej użytkowników.

Większość ustawień dotyczących bezpieczeństwa kryje się w menu Opcje → Dla zaawansowanych. Nie za wiele da się tam skonfigurować, a niektóre z dostępnych opcji mogą być niebezpieczne, jak np. domyślne akceptowanie wszystkich typów ciasteczek. Kolejnym przykładem jest mieszanie danych protokołu HTTP z HTTPS w tym samym widoku, bez ostrzeżenia użytkownika.

Innym niedopatrzeniem jest brak zdolności do umieszczania podejrzanych stron na czarnych listach, a także brak możliwości wycofania się ze szkodliwej strony. Domyślnie mamy ustawione unieważnienie sprawdzania SSL/TLS, co więcej Google Chrome nie obsługuje wydajniejszego protokołu służącego do sprawdzania unieważnienia - OCSP.

W opisywanej przeglądarce nie ma możliwości blokowania reklam. Zawieszenie jednego procesu może czasem powodować zawieszenie całej przeglądarki. Zastrzeżenia budzi także sposób przechowywania haseł. Udostępnione są one w pliku tekstowym bez specjalnych zabezpieczeń. Przeglądarka przeszła pomyślnie zaledwie 4 spośród 21 testów udostępnianych przez Password Manager Evaluator.

Z drugiej strony aplikacja zdała wszystkie testy bezpieczeństwa związane z atakami XSS (cross-site scripting) i nie dopuściła do instalacji żadnego malware. Google Chrome posiada więc zarówno korzystne rozwiązania, jak i pewne niedociągnięcia, których przyczyną może być tempo, w jakim ta przeglądarka została napisana.