"Geen enkele computer kan volledig beveiligd zijn, maar we maken het wel veel moeilijker - en dus minder winstgevend - voor de slechteriken", meldt Google bij de aankondiging van de Chrome OS-broncode. De beveiliging wordt ook geholpen doordat de ontwikkelaars van Chrome OS voor 'snelheid' alle overbodige code en processen hebben verwijderd, wat dus ook kwetsbaarheden kan schelen.

Het mobiele besturingssysteem houdt elk lokaal draaiend applicatieproces in een apart geheugendeel (sandbox) en controleert de eigen code bij elke reboot. Indien de code van Chrome OS zelf niet in orde lijkt, herstelt het zichzelf met een reboot. Google zal net als bij webbrowser Chrome updates automatisch en stilletjes pushen en installeren.

Webapps veiliger

Bovendien kent Chrome OS in wezen geen 'echte' applicaties; het zijn allemaal webapplicaties. Die draaien dan bovenop de webbrowser, die niet zoals IE bij Windows gekoppeld is aan het besturingssysteem, maar die grotendeels het besturingssysteem ís.

Elke webapp draait op een eigen domein en die domeinen hebben geen toegang tot elkaar. Tenminste, niet zonder door hele gekke dingen te doen, zegt Chrome OS security-ingenieur Will Dewry van Google. "Dat is hoe het internet werkt. Die default security krijgen we gratis en voor niets van internet."

White list hele OS

Dewry legt uit dat Google ook een vergaand ('agressive') algemeen systeem voor toegangscontrole (access control) oplegt voor de software. Dat kan doordat het hele besturingssysteem en de daarop draaiende software bij Google bekend is. De internetreus kan dus een complete white list toepassen voor Chrome OS. "Normaal gesproken kun je dat slechts beperkt doen, voor bijvoorbeeld één bepaald programma. Als je iets nieuws downloadt, dan werkt dat niet meer."

Google is root

Die white list-aanpak zorgt er ook voor dat Chrome OS zichzelf kan controleren, of het niet geïnfecteerd is - of ongeautoriseerd gewijzigd. Het besturingssysteem scheidt zichzelf en de gebruikersdata middels partities. De eerste is root waar Chrome OS zelf op draait, wat door Google wordt geüpdate.

Dat gebeurt via een tweede partitie voor de root, waar de update wordt gedownload waarna Chrome OS de twee root-partities vergelijkt en - indien goedgekeurd - alleen de wijzigingen doorvoert op de eigenlijke root-partitie.

De gebruikersdata staat op een aparte, volgende partitie, die is beveiligd met encryptie. "Dat maakt het heel makkelijk voor ons om het systeem te updaten", legt Dewry uit. De gebruiker van Chrome OS is dus letterlijk een gebruiker; met beperkte rechten op het van Linux-afgeleide besturingssysteem. Google is root.

Security-uitleg over Chrome OS: