Google Chrome apre la "1st World Browser War": chi vincerà la battaglia su Sicurezza e Privacy?


E’ indubbio che l’arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra Mondiale dei Browser" (magari le guerre fossero tutte combattute a questo livello… :-(…): non voglio dire che fino ad ora il confronto IE-Firefox non fosse degno di tale nome, ma ora la partita, con tali e tanti concorrenti, si fa davvero interessante. Il sottoscritto è ovviamente interessato ad osservare molto da vicino la battaglia sul piano degli aspetti di Sicurezza e Privacy e quindi non mancherò di aggiornarvi in tal senso: ora è sicuramente presto per fare un vero e proprio confronto, non è giusto tirare le conclusioni tra prodotti ad un diverso livello di sviluppo. Ma se un’analisi completa richiede di essere rinviata al momento in cui tutti i maggiori player avranno contemporaneamente sul mercato la loro ultima versione RTM, posso sicuramente condividere con voi alcune semplici riflessioni su questo tema.

La prima considerazione è di carattere generale: un confronto competitivo tra i browser sugli aspetti di sicurezza e privacy, con anche Google nella partita, potrà finalmente essere più equilibrato e oggettivo. Io penso infatti che Microsoft abbia sofferto molto della penalizzazione che deriva dalla sua "sovraesposizione": tuttora si continua a confondere la robustezza reale dei prodotti con lo scenario di rischio e di minacce possibili. L’ingresso di Google Chrome e la crescita di Firefox avranno sicuramente l’effetto di ridistribuire l’attenzione di chi attacca verso più obiettivi e quindi, incredibilmente, potrà favorire Microsoft in due modi: Microsoft potrebbe godere di meno attenzione da parte di quegli hacker che cercano ancora solo la visibilità e la notorietà, e si potrà vedere all’opera la vera qualità dei prodotti, tutti sottoposti alle stesse pressioni e alle stesse minacce.

Ne volete la prova? Come già successo quando è stata segnalata la prima vulnerabilità subito dopo aver rilasciato Firefox 3.0, anche per Chrome non è passato un giorno prima che qualcuno si desse da fare per testare la presenza di evidenti vulnerabilità: come riporta ZDNet, il ricercatore Aviv Raff che aveva individuato la vulnerabilità "Carpet Bombing" è stato in grado di riproporre velocemente un Proof-of-Concept per attaccare Chrome usando la stessa vulnerabilità, dal momento che l’engine WebKit incluso in questa prima beta è la stessa versione che rendeva vulnerabile Safari.

Google non faceva una figura migliore a partire con un engine aggiornato rispetto alle patch di sicurezza? Dirò di più, non è solo un problema di bella figura. Le vulnerabilità di sicurezza non possono proprio essere considerate dei peccati veniali per un prodotto in beta, in considerazione di quanti utenti la andranno a scaricare sul proprio PC: se gli utenti sono tanti, sono tanti ad essere esposti ad un nuovo, succoso, vettore di attacco.

Vedere l’uso di un engine non nuovo e non aggiornato mi ha portato ad una seconda considerazione: da utente mi aspettavo di vedere un browser nuovo di zecca, totalmente riscritto da zero, libero da tutti i vincoli di compatibilità applicativa che per IE sono stati da sempre come zavorra ad ostacolare il cambiamento, e invece… 

Anche per quanto riguarda le funzionalità di sicurezza e privacy non mi sembra (ad una prima veloce occhiata) che vi siano novità, anzi qualcuno (articolo CNET riportato da Giacomo Dotta) ha prontamente sollevato delle perplessità su alcuni dettagli della licenza d’uso, tra cui spicca il diritto di scaricare e installare in automatico gli aggiornamenti di prodotto… e la possibilità di veicolare pubblicità mirata in base all’utilizzo del browser…: io non commento per ora, saranno, sperabilmente ;-), solo difetti di gioventù…

Come vedete, finchè si è trattato di puntare il dito sui possibili difetti di sicurezza dei prodotti Microsoft (e Internet Explorer, oggettivamente, se ne è meritati tanti di rimproveri, in passato) tutti bravi, ma ora che ci si cimenta davvero con i prodotti, sembra meno ovvio e scontato riuscire a fare di meglio in ambito security e privacy.

Come diceva Dante "…qui si parrà la tua nobilitade…": il tempo saprà dare ragione al browser che affronterà, seriamente e in modo maturo per lo scenario di rischio che viviamo ora, le tematiche di sicurezza e privacy che oggi sono ineludibili.

Altri post/risorse correlate:


Share this post :

Comments (13)

  1. wisher says:

    Come mai 1st World Browser War? Non dovremmo essere già a due (la prima tra IE e Netscape)?

    A parte questo dettaglio, pare che siano già riusciti a forzare anche la sandbox: http://blogs.technet.com/robert_hensing/archive/2008/09/03/breaking-out-of-the-chrome-sandbox-2-interesting-vulns-in-24-hours-got-ie8.aspx

  2. dovella says:

    Non chiedetemi perchè , ma di google mi fido meno di 0 .

    In questo momento chrome è superfluo,

    invece aspetto con ansia l RTM di IE8

    forse forse per Novembre 😉

  3. Blackstorm says:

    Feliciano, ti segnalo anche un altro articolo molto interessante. Saranno errori di gioventù, ma dirmi che mi stai mettendo un keylogger mentre installo il browser non è il massimo della vita 🙂

    http://www.microsoft-watch.com/content/web_services_browser/chrome_privacy_is_full_of_dents.html

  4. Feliciano Intini says:

    @wisher: il coinvolgimento di più attori mi dava meglio l’idea di una vera e propria guerra mondiale (senza alleanze però ;-). Ho letto che qualcuno parla di "sfida finale"..:-).

    @all: grazie degli altri link.

  5. Feliciano Intini says:

    Bravo Franco, complimenti, (sembra proprio l’uovo di colombo)!

    Resto solo davvero perplesso della scelta di lasciare quella check-box disabilitata by default: se fosse stata lasciata così volontariamente sarebbe un terribile segnale di quanta poca cura Google stia ponendo agli aspetti di security, ma probabilmente (spero per loro) è solo la conferma dell’enorme fretta con cui hanno fatto uscire questa beta dopo il leak del comic book.

  6. Anonymous says:

    Qualche giorno fà, per la precisione il 3 di settembre, Google ha reso disponibile per il download

  7. Anonymous says:

    Leggo dal post di Michael Howard di questa interessante particolarità: tra la 24 diverse sorgenti

  8. RoBYCONTe says:

    Ciao Feliciano,

    ho letto qualche giorno fà questo tuo articolo, oggi leggo su wintricks questa notizia: http://news.wintricks.it/web/dal-web/26846/ie-8-non-funziona-come-chrome/ .

    Puoi fornire tu qualche dettaglio su questo argomento? (Scusa ma penso tu sia l’unica fonte da cui poter avere informazioni corrette!)

    Grazie in anticipo!

  9. Feliciano Intini says:

    Grazie della stima Roberto, in attesa di poter scrivere al riguardo, qui trovi maggiori dettagli: http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9114595

  10. RoBYCONTe says:

    Grazie mille, inizio a capirci qualcosa in più.