Chrome : Moins de performances pour plus de sécurité ?

Sécurité : L’équipe de Chrome est prête à réduire les performances du navigateur de Google pour améliorer sa sécurité.

L’équipe chargée de la sécurité de Chrome affirme qu’elle est prête à rendre le navigateur légèrement plus lent si la contrepartie était un navigateur beaucoup plus sûr.

MiraclePtr

En raison de l’utilisation du langage C++, la première option n’est pas possible, mais l’équipe étudie des solutions comme MiraclePtr pour la vérification à l’exécution.

« MiraclePtr empêche les bugs de type « use-after-free » en mettant en quarantaine la mémoire qui peut encore être référencée. Sur de nombreux appareils mobiles, la mémoire est très précieuse et il est difficile d’en épargner une partie pour une mise en quarantaine », indique l’équipe.

« Néanmoins, MiraclePtr a une chance d’éliminer plus de 50 % des bugs « use-after-free » dans le processus de navigation – une victoire énorme pour la sécurité de Chrome, dès maintenant. »

Rust

Dans le même temps, le navigateur continue de chercher comment intégrer le langage Rust pour permettre des vérifications au moment de la compilation qui, par la suite, n’auront pas d’impact sur les performances.

« Des questions restent ouvertes quant à savoir si nous pouvons faire en sorte que C++ et Rust fonctionnent suffisamment bien ensemble », s’interroge l’équipe. « Même si nous commencions demain à écrire de nouveaux grands composants en Rust, il est peu probable que nous puissions éliminer une proportion significative de vulnérabilités de sécurité avant de nombreuses années. Et pouvons-nous rendre la frontière du langage suffisamment propre pour que nous puissions écrire des parties de composants existants en Rust ? Nous ne le savons pas encore. »

L’équipe précise qu’elle teste une utilisation limitée de Rust, mais qu’elle n’a pas encore été intégrée dans les versions de production de Chrome. Inventé par Mozilla, Rust est utilisé dans certaines parties de Firefox depuis 2016, et l’équipe Android de Google a fait pression pour introduire Rust dans le noyau Linux.

Source : ZDNet.com

Catégories