Chrome OS安全性分析
Google保證用戶在新的Chrome OS操作系統(tǒng)上不必?fù)?dān)心病毒、惡意軟件以及安全更新等問題。但是目前來評(píng)價(jià)這些消息的準(zhǔn)確性還為時(shí)尚早,因?yàn)榫郈hrome OS正式版本發(fā)布還需要至少一年的時(shí)間,目前唯一我們能看到的就是Google官方公布的Chromium OS源代碼以及愛好者編譯出來的虛擬機(jī)版本。
事實(shí)上,Google已經(jīng)發(fā)布了一些這方面的信息。其中就包括一份完整的安全綜述,該綜述描述了Chrome OS在安全性上的長(zhǎng)期規(guī)劃。他們也不能保證這份綜述中描述的所有目標(biāo)都能達(dá)到。但無論如何,已經(jīng)在剛剛發(fā)布的版本中展現(xiàn)的安全性還是令人印象深刻。
始終保持***
首先,要將所有操作系統(tǒng)的文件被放在一個(gè)分區(qū),而用戶數(shù)據(jù)則被放在另一個(gè)不同的分區(qū)中。這兩者永世隔絕!微軟已經(jīng)在這方面做出了一些努力,例如通過配置文件阻止程序打亂Windows的文件夾。但是他們遠(yuǎn)未能做到徹底分離這一至關(guān)重要的一步。
在Chrome OS里,自動(dòng)更新不僅是一個(gè)選項(xiàng),而是作為一個(gè)必須的規(guī)則。我曾經(jīng)希望微軟能夠通過Windows 7阻止用戶簡(jiǎn)單地關(guān)閉自動(dòng)更新,但是微軟讓我失望了。如果他們必須讓它(自動(dòng)更新)可選的話,起碼應(yīng)該把它放在一個(gè)初級(jí)用戶不易找到的地方,并且將其設(shè)置 為默認(rèn)開啟。Google在這方便就選對(duì)了路。當(dāng)Chrome OS更新可用時(shí),所有基于Chrome的系統(tǒng)都將更新。同時(shí),這種數(shù)字簽名驗(yàn)證的更新是通過一種安全的連接實(shí)現(xiàn)的。
Google的Will Drewry在一個(gè)視頻里介紹了一種更聰明系統(tǒng)來阻止用戶停用更新。當(dāng)更新下載時(shí),它將先被放在一個(gè)獨(dú)立的非活動(dòng)系統(tǒng)分區(qū)中。當(dāng)新的下載完成后,系統(tǒng)再次 檢查更新的代碼。只有在確認(rèn)它“觸發(fā)了開關(guān)”后才會(huì)更新到新版本。如果這個(gè)過程被打斷,也不會(huì)出現(xiàn)半更新的狀態(tài)。
啟動(dòng)時(shí)的驗(yàn)證
每次重啟時(shí),Chrome OS都會(huì)檢查每個(gè)系統(tǒng)元素的數(shù)字簽名,以保證系統(tǒng)未曾更改。一旦它檢測(cè)到任何不正常的情況,Chrome OS 會(huì)立即通過自動(dòng)更新進(jìn)程刷新。理論上說,重啟應(yīng)該能清除任何危及系統(tǒng)的惡意軟件。但是惡意軟件就不會(huì)通過改變驗(yàn)證進(jìn)程來使自己看起來合法嗎?Drewry 的視頻詳細(xì)描述了驗(yàn)證過程中的多種措施。看起來這些措施很難被攻破。
這種通過常規(guī)的系統(tǒng)還原來清除惡意軟件的概念并不新鮮。微軟自己也提供了Window SteadyState(微軟開發(fā)的免費(fèi)的影子系統(tǒng)),這是一個(gè)配置Windows系統(tǒng)的工具包,它可以讓你在重啟的時(shí)候?qū)⑾到y(tǒng)還原到一個(gè)已知的正常的還 原點(diǎn)。此外還有一些第三方的虛擬工具和安全回滾工具。但是,除非完全將用戶文件和系統(tǒng)文件分離,這種解決辦法是無法達(dá)到Chrome OS 的簡(jiǎn)單性和可靠性的。
【編輯推薦】
