| 0 |
|
Группа ученых Гарвардской школы инженерии и прикладных наук (Harvard School of Engineering and Applied Sciences, SEAS) под руководством профессора Аллена Каттинга (Allen B. Cutting), предложила новый инструмент, который может значительно повысить безопасность и увеличить быстродействие популярных мобильных и веб-приложений.
Дело в том, что когда пользователь открывает внешнюю программу, например Gmail или Angry Birds, веб-браузер, скажем Google Chrome, обычно запускает программный код на более безопасном промежуточном языке, например JavaScript, хотя во многих случаях предпочтительнее было бы запускать напрямую естественный машинный код. Но исполнение естественного кода, в особенности в онлайновой среде, открывает двери для хакеров, которые могут использовать его уязвимости для получения доступа к устройству.
Первое решение данной проблемы было предложено более 10 лет назад учеными университета Калифорнии в Беркли (США), которые разработали инструмент изоляции ошибок (software fault isolation, SFI). Он работал исключительно на чипах RISC, которые больше использовался в научной среде, чем в реальном мире. В 2006 г. был предложен способ реализации SFI на более популярных чипах на основе CISC, например Intel x86, и технология получила широкое распространение, в частности Google модифицировала процедуру для Google Chrome, в результате чего был создан Google Native Client (или NaCl).
Относительно небольшой фрагмент кода под названием RockSalt, представленный на прошедшей в Пекине (Китай) конференции ACM Conference on Programming Language Design and Implementation (PLDI), усовершенствует NaCl, выполняет оперативную проверку естественного кода языка программирования на соответствие политикам безопасности. RockSalt гарантирует, что сам контролер NaCl не содержит ошибок — для доказательства этого утверждения ученые использовали систему Coq. Поскольку архитектура x86 чрезвычайно сложна, важным этапом разработки стало тестирование модели на реальном чипе.
RockSalt состоит всего из 80 строк кода (оригинальный контролер естественного кода от Google — 600 строк), работает быстрее, и до настоящего времени не пропустил ни одной уязвимости. Инструмент чрезвычайно полезен для программистов и пользователей: теперь можно создавать программный код на любом языке, компилировать его в естественный исполняемый код и не обращаться в целях безопасности к промежуточным языкам, таким как JavaScript.
RockSalt создавалось при финансовой поддержке Google, но без участия специалистов компании.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
