SyScan国际会议 360工程师详解浏览器安全架构

    12月14日，360公司承办的国际顶级安全技术峰会——SyScan360在北京举行，微软、谷歌、McAfee等公司和安全组织成员现身发表最新安全研究成果。与之前演讲者侧重攻击技术不同，360浏览器技术总监任寰发表了《Chrome安全架构的进化》主题演讲，从产品安全防守角度进行了总结和分析。

图：360浏览器技术总监任寰，之前是Chrome多个模块开发负责人

    任寰自2006年起从事Google Chrome浏览器的设计和开发，是Chrome浏览器Windows版和Android版多个模块(多进程架构、网络、开发基础设施、稳定性分析、插件、视频)的开发负责人。他现任360浏览器技术总监，负责360浏览器开发工作。

    任寰介绍了Chrome安全机制的设计思想、基本原理，以及发展演变，并对其有效性进行了评估。据他介绍，Chrome浏览器的安全机制主要包括：渲染进程、扩展进程、GPU隔离、插件的进程以及GPU进程。

    谈到Chrome安全机制的演变历史，任寰介绍最初版本的Chrome并没有沙箱，从2007年至2010年间依次出现渲染沙箱、扩展系统、GPU渲染机制和插件沙箱。

    任寰介绍了浏览器插件的一些弱点，指出插件扩展给浏览器安全性带来很大风险。据介绍，研究成果显示，手动检查50个流行的以及50个任意选择的插件，40个插件中发现了高达70个漏洞，由插件引起的漏洞风险比例非常高。

    SyScan前瞻信息安全技术年会是国际知名的信息安全会议之一，自2004年在新加坡首次举办以来已成功了8次会议。今年SyScan首次登陆北京，携手中国第一大互联网安全公司奇 虎360合力举办，吸引了国内外超过300名技术人员参会，包括安全厂商工程师、科研院所、大学等相关单位人士。