安全专家祝福谷歌本地客户端技术

谷歌周二宣布，两名安全研究人员在赢得了一场为谷歌本地客户端技术安全设计的错误路由竞赛后，正在向谷歌分发谷歌的现金奖励。

(资料图片仅供参考)

尽管他们在代码中发现了十几个错误，这些错误使基于网络的应用程序能够运行本地代码并利用计算机的处理能力，但其中一名获奖者预测，该技术在部署时是安全的。

互联网安全系统公司XForce研究工程师MarkDowd表示：“实施质量非常好。”“每个人都在这里和那里犯了一些错误，比赛的目的就是为了消除这些错误。\r\r\r\r\r\r\n“”

NativeClient的谷歌工程经理BradChen表示，多德和他的合作伙伴BenHawkes在新西兰的独立安全研究人员发现了最严重的安全漏洞和22个最严重的bug。

例如，一个更严重的错误将允许攻击者完全禁用技术的内部沙箱(根据Chen的说法)。

多德说：“如果你能在生产网站上找到这些漏洞，你就能把其中一些变成漏洞，并获得对系统的完全控制。”但是“这不是一个生产版本，所以目前还没有庞大的用户群，你可以使用。”

他说：“我知道他们想在进入黄金时段之前推出一些功能，但核心技术本身还是挺有意思的。如果他们能跟上它的安全性，我认为它将以安全的方式部署在互联网上。”

这项技术在去年12月作为研究项目展示，上个月扩展到开发平台。它试图让计算机直接在处理器上运行从互联网下载的网络应用程序，并以安装在计算机上的“自然”软件的速度运行网络应用程序。

当前的Web应用程序编程环境(如闪存、JavaScript和ActiveX)提供的处理能力有限，并且经历了自身的实现缺陷，可以加以利用。

对于本地客户来说，谷歌面临的挑战是，以一种相对较新的方式平衡更高的性能和新的安全挑战。这种方法被称为静态分析，包括在软件运行前对其进行过滤，以确保它没有执行任何范围的被禁止的风险行为。

陈表示，谷歌希望在今年年底前将本地客户端整合到开发者版Chrome浏览器中，让更广泛的开发社区参与进来。

约600人参加了比赛，比赛于2月份宣布，由9个专家组进行评判。