Patches werden automatisch installiert
Doch es gibt Überraschendes: Fragwürdige ist Googles Entscheidung, dass Nutzer Chrome ohne Admin-Rechte installieren können. Das kann dazu führen, das Chrome schwer zu verwalten ist. Allerdings ermuntert Microsoft alle Anbieter zu diesem Vorgehen, um das Windows-System weitgehend vor Modifikationen zu bewahren. Chrome ist damit lediglich eine der ersten Applikationen, die Microsofts Empfehlung folgen.
Chrome installiert die ausführbare Datei Googleupdate.exe. Die Applikation wird automatisch im Task-Scheduler von Windows Vista gestartet und wählt sich regelmäßig auf der Google-Seite ein, sobald der Nutzer eingeloggt ist und gerade untätig ist. Die Software sucht nach Updates und installiert sie. Das ist eine schöne Art, den Browser stets auf dem aktuellen Stand zu betreiben, immerhin erscheinen mehrere Patches pro Woche. Die um Sicherheit besorgten Admins sehen so etwas jedoch gar nicht gerne, weil sie die Kommunikationsströme und neu installierte Patches nicht kontrollieren können. Dieses Browser-Verhalten lässt sich nur schwer ändern.
Ein weiteres interessantes Konzept ist Chromes JavaScript-Machine namens "V8". Googles Entwickler-Team Chromium hat eigens eine virtuelle Umgebung für JavaScript-Anwendungen entworfen. V8 konvertiert sogar JavaScript in Maschinensprache, um das Laden der Web-Seite zu beschleunigen, und betreibt eigene Prozesse, um nicht mehr verwendete Objekte und deren Speicher zu identifizieren (Memory Garbage Collection). Hinzu kommen ein eigener Source-Code Inspector sowie ein Debugger. V8 begrenzt deutlich die Möglichkeiten von JavaScript, dem System Schaden zuzufügen. Das gilt auch für übliche JavaScript-Pop-ups etwa in Form von Werbung.
Chrome hat viele sicherheitsrelevante Standard-Features. Dazu zählen (unter anderem):
-
Ein Privacy-Mode für Browser-Sessions namens "Incognito", mit dem Nutzer Surfen können, ohne Spuren zu hinterlassen;
-
Eine Anti-Phishing-Funktion namens "Safe Browsing";
-
Einen One-Button-Setting-Reset, für schnelles Zurücksetzen der Einstellungen;
-
Eine zwingende Datei-Sicherung, die sich nicht umgehen lässt;
-
Verschiedene Funktionen, die das Starten gefährlicher Applikationen und den Download belasteter Daten verhindern sollen.
JavaScript lässt sich nicht abschalten
Bislang konnte Googles Browser überzeugen, doch auch beim Chrome ist in punkto Security nicht alles glänzend implementiert. Ein besonders eklatanter Lapsus ist die fehlenden Funktion des Browser, Javascript auszuschalten. Javascript wird häufig für Attacken aus dem Web verwendet. Alle Chrome-Konkurrenten bieten die Möglichkeit, die Ausführung entweder generell oder auf Site- und Zone-Ebene zu unterbinden (der Firefox benötigt dazu allerdings das Add-on "NoScript"). Während Googles V8 ansonsten durch Cleverness in Security-Fragen besticht, ist dieser Makel eine ernste Sicherheitslücke. Die Beweggründe für diese Entscheidung sind unklar. Möglicherweise liegt es daran, dass Google die Nutzung von Javascript-basierenden Applikationen und Web-Seiten fördern möchte. Doch sollte sich der Mangel zu einem echten Sicherheitsproblem entwickeln, bleibt nur der Rat an die Anwender, Chrome nicht mehr zu verwenden.