In een blogpost op het Chromiumblog stellen drie leden van het Google Security Team dat er steeds meer aanvallen komen op plug-ins. Volgens het drietal is dat vooral te wijten aan de sterkere beveiliging van de browsers, die aan sandboxing doen (IE en Chrome) en automatisch worden geüpdate (Firefox en Chrome).

Blokkeren en sandboxen

Om de beveiliging te verbeteren heeft Google al aangekondigd dat het Flash Player met Chrome gaat bundelen, zodat het voortaan automatisch wordt geüpdate. Maar op de middellange termijn staat er meer op stapel. Zo zal Chrome weigeren om verouderde plug-ins te draaien, waarna de browser de gebruiker wel zal assisteren bij het updaten van die plug-ins.

Met deze zet volgt Google het voorbeeld van Mozilla, dat ook controleert of plug-ins verouderd zijn. Met Chrome kun je nu al een Mozilla-pagina bezoeken die aangeeft of een aantal populaire plug-ins up-to-date zijn of niet.

Een andere voorzorgsmaatregel die wordt genomen is dat de browser een waarschuwing gaat geven als er een plug-in wordt opgestart die al lang niet is gebruikt. Als zo’n plug-in ineens wordt aangesproken zal Chrome dat verdacht vinden en aan de gebruiker vragen of het goed is dat hij wordt opgestart.

Tot slot wordt er een nieuwe plug-in API gelanceerd, die het makkelijk moet maken om plug-ins te sandboxen.

‘IE6 is veiliger’

Al deze maatregelen moeten Chrome veiliger maken, wat overigens geen enkele indruk maakt op een Amerikaanse bank. Vanaf 18 juli zal de site van de bank alleen nog Internet Explorer 6.0 en hoger, Firefox 2.0 en hoger en voor Mac Safari 3.0 en hoger ondersteunen. Andere browsers worden volgens de FAQ niet ondersteund omdat ze niet populair genoeg zijn, of omdat ze niet veilig zijn.

De eerste reden kan niet de aanleiding zijn om Chrome buiten te sluiten, omdat Chrome een marktaandeel heeft van 7 procent. Dus moet het wel de veiligheid zijn waar de bank zich zorgen over maakt. En daarmee stellen ze impliciet dat IE6 veiliger is dan Chrome. En dat is een aanname waar zelfs Microsoft verbaasd over zal staan.

Bron: Techworld