W skrócie rzecz ujmując, sandboxing polega na odizolowaniu danej aplikacji od reszty uruchomionego oprogramowania - dzięki temu nawet jeśli ktoś zdoła sforsować zabezpieczenia Chrome'a, to i tak nie będzie w stanie wykorzystać tego np. do przejęcia kontroli nad systemem lub uzyskania dostępu do danych użytkownika.

Dino Dai Zovi poświęcił temu zagadnieniu dłuższy wpis, opublikowany przed kilkoma dniami na blogu ThreatPost, prowadzonym przez firmę Kaspersky Labs. Specjalista tłumaczy w nim, że Google znakomicie skontruował cały model zabezpieczeń przeglądarki - Zovi pochwalił zwłaszcza zastosowanie wspomnianego sandboxingu oraz techniki o nazwie "privilege reduction" (czyli ograniczenia przywilejów aplikacji w systemie operacyjnym). Te rozwiązania znacznie poprawiają bezpieczeństwo nie tylko samej przeglądarki, ale także OS-u, w którym jest ona uruchomiona. Bo nawet jeśli ktoś znajdzie jakąś poważną lukę w Chrome (w teorii pozwalającą np. na uruchomienie nieautoryzowanego kodu), to system i tak będzie bezpieczny. Chyba, że ktoś znajdzie i jednocześnie wykorzysta lukę w samym sandboksie.

W rozmowie z dziennikarzem amerykańskiego ComputerWorlda Dino Dai Zovi stwierdził, że zastosowanie w Chrome takich zabezpieczeń z czasem sprawi, że przestępcy chcący atakować komputery z tą przeglądarką będą musieli stosować niestandardowe metody - np. podsuwać użytkownikowi fałszywe aplikacje antywirusowe (będące w rzeczywistości np. trojanami). Będzie to konieczne, ponieważ klasyczne ataki przeglądarkowe - polegające np. na zwabienia użytkownika na stronę z exploitem instalującym w systemie złośliwe oprogramowanie (przez lukę w przeglądarce) - w przypadku programu zabezpieczonego sandboxingiem będą praktycznie bezużyteczne.

Ekspert dodał, że wszyscy producenci przeglądarek powinni wziąć przykład z Google. "Popularność klasycznych webowych ataków jest tu najlepszym argumentem. Moim zdaniem jest to [powszechne stosowanie sandboxingu - red.] jest krytyczne dla ogólnego bezpieczeństwa w Internecie. Przeglądarki stają się powoli systemami operacyjnymi, dlatego muszą być lepiej zabezpieczone. Google jest pierwszą firmą, która to sobie uświadomiła - a Chrome to najlepszym przykład, jak powinny wyglądać takie zabezpieczenia" - mówi Zovi.

Warto dodać, że Mozilla Firefox, Safari firmy Apple oraz Opera nie są wyposażone w takie zabezpieczenia (Zovi zwraca uwagę, że Apple zastosował sandboxing w niektórych elementach systemu Snow Leopard - ale w Safari nie). Pewną namiastkę takiego rozwiązania znajdziemy w Internet Explorerze 7 i 8 (ale wyłącznie w Windows Vista i Windows 7) - jest tam zabezpieczenie o nazwie "Protected Mode", którego zadaniem jest ograniczenie przywilejów przeglądarki w systemie, tak by utrudnić uruchomionemu w niej złośliwemu kodowi uszkodzenie systemu. Ale Dino Dai Zovi zwraca uwagę, że tak naprawdę to nie jest to "prawdziwy" sandbox.

Nad wyposażeniem swojego produktu w sandbox pracuje już Mozilla - w ramach projektu "Electrolysis". Wiadomo jednak, że ta technologia pojawi się w Firefoksie najwcześniej w wydaniu 4.0 (czyli pod koniec bieżącego roku lub na początku przyszłego).