Webový prehliadač Microsoft Edge bude v ďalšej verzii Windows 10 podporovať automatické spúšťanie v transparentnom virtuálnom stroji, čo zvýši mieru bezpečnostnej izolácie renderovaných stránok.
Technológia ponesie označenie Windows Defender Application Guard for Edge a spoločnosť ju zatiaľ stručne predstavila v pondelok na svojej technologickej konferencii Ignite.
Moderné webové prehliadače v súčasnosti používajú na zvýšenie bezpečnosti spúšťanie procesov renderujúcich stránky v tzv. sandboxe, procesoch s limitovanými oprávneniami.
Škodlivý kód, ktorý zneužije prípadné zraniteľnosti vo webových prehliadačoch, sa teoreticky môže vyhnúť obmedzeniam sandboxu, napríklad po zneužití chýb operačného systému alebo využitím komunikácie s viac privilegovanými procesmi prehliadača.
Edge tak bude pre zvýšenie bezpečnosti spúšťať renderovacie procesy pre stránky, ktoré nemajú plnú dôveru, vo virtuálnom stroji zabezpečenom virtualizačným hypervízorom Hyper-V. Podľa dostupných informácií v tomto virtuálnom stroji bude bežať iba jadro Windows a služby potrebné pre zabezpečenie funkčnosti prehliadača.
Marketingové predstavenie technológie Windows Defender Application Guard for Edge (video: Microsoft)
Škodlivý kód aj po zneužití chýb v prehliadači by tak nemal môcť vďaka izolácii infikovať zvyšok systému.
Microsoft zatiaľ oficiálne oznámil len minimum informácií o novej funkčnosti. Zatiaľ ju plánuje len pre edíciu Windows 10 Enterprise používanú vo firmách, pričom prehliadač s aktívnou funkčnosťou bude vo virtuálnom stroji otvárať všetky stránky okrem zoznamu nastavených dôveryhodných stránok. Ostatné sa majú otvárať v procese v hlavnom OS.
Pre užívateľa bude funkčnosť plne transparentná a naraz bude môcť mať otvorené dôveryhodné aj ostatné stránky, pričom okno Edge bude indikovať bezpečnostný režim farebným odlíšením. Dôveryhodné stránky budú v oknách s modrou dekoráciou, ostatné v červených.
Akékoľvek zmeny uskutočnené stránkami otváranými vo virtuálnom stroji, vrátane nastavených cookies, sa nezachovajú a po zatvorení stránok zabudnú.
Podľa dostupných informácií funkčnosť bude vyžadovať hardvér podporujúci ako hardvérovú akceleráciu virtualizácie, Intel VT-x alebo AMD Vi, tak I/O virtualizáciu, v prípade Intelu používajúcu označenie VT-d. Podpora akcelerácie virtualizácie umožní minimalizovať dopad na výkon aj zvýšiť bezpečnosť, rýchlosť Edge vo virtualizácii bude ale aj tak o niečo nižšia. O koľko Microsoft zatiaľ neavizoval.
Samotná technológia bude použiteľná na podobnú izoláciu aj pre ďalší softvér, Microsoft ju zatiaľ ale nesprístupňuje. Funkčnosť v Edge bude sprístupnená v testovacích verziách Windows 10, v stabilnej verzii sa objaví v budúcom roku.
O dosiahnutie vyššej bezpečnosti virtualizáciou bez straty pohodlia sa snaží viacero softvérových projektov, najznámejším je linuxový operačný systém Qubes OS. Ten umožňuje rozdeliť všetku prácu užívateľa na desktope do viacerých virtuálnych strojov.
Akékoľvek zmeny uskutočnené stránkami otváranými vo virtuálnom stroji, vrátane nastavených cookies, sa nezachovajú a po zatvorení stránok zabudnú.
Tomu sa neda verit historiu otvorenych stranok
a hesiel apodobne si bude drzat niekde bokom tak ako to robi od 95tiek - cookies a webstorage niesu jedine formy fingerprintingu...
Pride mi to ako FBI a Apple nevieme sa tam dostat ak Apple
nepomoze o par tyzdnov uz Apple nepotrebujeme
NEhovoriac otom ze utocnici vedia exitnut aj z VMstroja
Detekcia VM stroja je mozna niektore bezne SW(total uninstaller) sa odmietaju vo VM spustit..
Re: no MS....
Od: ZubnaKefka
|
Pridané:
27.9.2016 9:15
Detekcia VM je mozna - pretoze VMky bezne pouzivaju konkretne typy virtualizovaneho HW, napr. sietovky Intel E1000 pripadne VMXNet a na zaklade rozpoznania kombinacie tohto HW vie sw vyhodnotit ci je virtualka alebo nie.
"NEhovoriac otom ze utocnici vedia exitnut aj z VMstroja" - oh really ? sice som cital, ze sa to uz niekomu podarilo, ale ze by to vedel kazdy druhy "pocestny kuzelnik" sa neda povedat
Poztivne na tejto sprave je, ze M$ konecne nasiel nejake seriozne uplatnenie pre HyperV(nie ze by bol zly, ale do produkcie by som ho asi nedal...)
to vues,kazdy pracuje s tym, co ma :D a ms je odkazany na hyperv.ale ano pouzivaju to bezne produkcne,obcas to samozrejme treba cele restartnut ako vsetko windowsove..
Re: no MS....
Od: reg.: Houston
|
Pridané:
27.9.2016 9:44
Jaj ale mozu byt predsa dva boky, aj ty mas dva boky, nie?
"Bezpecne" weby z whitelistu budu mat bok niekde v hlavnom OS + bude tu kompletna historia a vsetky ostatne weby budu mat bok vo vzdy znova inicializovanom VM (a na vsetkych WIN rovnako vyzerajucom). K historii sa dostanu len od doby inicializacie a okolo je len jadro s minimalnym mnozstvom API pre rendering a nic ine, teda exit z VM stroja nebude len tak. Ak bude, tak urcite bude vhodne predany spravnym konzorciam a nebude lietat v "beznych" virusoch po internete.
neprihlásený 
