Gazelle并不是一个新的Windows,而是一种新型的
浏览器,它的内核会像操作系统那样,为不同的网站(web site principals)分配资源并对这些资源提供访问保护。Security principal被定义为“一个可以被
计算机系统或网络验证的实体。检查和确认这个实体标识的过程被称为验证”。
微软研究院的Janie Chang定义了browser principal,并解释了为什么安全如此重要:
简介
微软的新一代安全浏览器。该名为Gazelle的下一代安全浏览器采用基于multi-principal架构来管控所有系统资源的安全性。 微软研究人员指出,Gazelle浏览器原本是为使用者用来搜索静态网站的应用程序,但随着动态网站技术的快速发展,Gazelle浏览器逐渐形成multi-principal环境,可分享不同网站的资源。现如今不论是IE 8还是Google Chrome等各种现有的浏览器都无法通过以浏览器管控所有系统资源的安全行,因此促使微软打造了Gazelle以提供完整的解决方案。
发展历史
在
浏览器中,principal一般就等价于一个网站。对于计算机来说,通常在同一时刻只有一个用户在使用,系统资源是被不同的应用程序所共享的;而对网 页来说,每个页面可能包含了来自不同网站的内容,计算资源是被这些不同网站的内容所共享的。因此
浏览器自然而然就成为为这些网站调配资源的平台。
一个网页可能包含来自其它网站的内容,比如广告和新闻。所有这些来源不同的内容都共存在
浏览器的同一进程或保护域(protection domain)中。含有恶意代码或问题代码的广告会阻塞网络、降低性能、锁死整个页面甚至让浏览器崩溃。而在
浏览器操作系统中,有问题的网站(内容)并不 会影响到其它网站(的内容)、浏览器本身或者计算机。
Wang等人将principal定义为“由网站来源(协议、域名、端口)标识的
同源策略(SOP)下”的网站。为了加强对principal的保护,在网站和操作系统之间引入了
浏览器内核(browser kernel),如图1所示:
浏览器内核运行在独立的保护域中,存在于网站和传统的操作系统之间。内核协调网站对
系统资源的访问,并在
浏览器上执行安全策略。本质上,
浏览器内核就是网 站的操作系统,负责管理和保护
系统资源。此外浏览器内核还管理着浏览器的外观,例如
地址栏和
菜单。内核接收所有来自底层操作系统的事件,包括鼠标点击或键 盘操作这样的用户事件,这些事件将被分发到正确的网站运行实例(principalinstance)。当用户点击指向另一个来源的
超链接时,浏览器内核会为这个URL指向的网站实例创建一个新的保护域(如果还不存在的话)来渲染页面, 销毁包含这个链接的页面所在的保护域,并将窗口重新初始化以显示URL指向的网站实例。
网站特点
在浏览器中,principal一般就等价于一个网站。对于计算机来说,通常在同一时刻只有一个用户在使用,系统资源是被不同的应用程序所共享的;而对网 页来说,每个页面可能包含了来自不同网站的内容,计算资源是被这些不同网站的内容所共享的。因此浏览器自然而然就成为为这些网站调配资源的平台。
一个网页可能包含来自其它网站的内容,比如广告和新闻。所有这些来源不同的内容都共存在浏览器的同一进程或保护域(protection domain)中。含有恶意代码或问题代码的广告会阻塞网络、降低性能、锁死整个页面甚至让浏览器崩溃。而在浏览器操作系统中,有问题的网站(内容)并不 会影响到其它网站(的内容)、浏览器本身或者计算机。
研究人员宣称,Gazelle
浏览器核心为可处理资源保护及分享各网站资源的操作系统,其复杂设计前所未见,其中包含诸如跨流程显示及事件保护等。在Gazelle的原型程序中,
微软已经基本了现在
浏览器向multi-principal系统的转化,其安全性和
兼容性得到了保证。
根据该研究报告的说明,Gazelle的
浏览器核心在一个独立的操作系统程序中运作,透过相同来源策略(same-origin policy,SOP)定义与区隔浏览器主体,以及在独立的
沙箱( sandbox)中执行程序,因此不会影响底层的操作系统。而当
浏览器与主机间的程序需要互动时,则由浏览器Kernel透过跨主元通讯(cross-principal communication)的方式进行。
该研究团队所设计的
浏览器内核可在特殊被保护的领域中运作,而且负责处理不同浏览器本身以及操作系统的通信,并协调上述操作对
系统资源的存取。让浏览器有自己的核心,代表它就像是一个小型的操作系统,可以辨识流量或是处理恶意软件,同时区分了浏览器及操作系统运作的环境,也降低系统接触威胁的机会。
虽然该团队认为从原型程式来看已有机会实现Gazelle的设计,不过他们承认现阶段Gazelle的执行速度并不快,任处于试验阶段。此外,
微软研究团队原本就进行多方研究,从操作系统到浏览器,因此Gazelle设计概念的曝光并不代表它就会取代微软的
IE浏览器。
微软研究中心公布了Gazelle浏览器的构造草案,Web浏览器首先作为用户浏览
静态页面站点的程序 出现,之后站点逐渐发展到由动态的Web程序所组成的内容,浏览器也变成了站点上资源共享的主流操作系统环境。然而,当今的
浏览器,包括 IE8,Chrome,Opera等都没有包含任何多种主流操作系统构造,给予基于浏览器的系统高级的控制手段,来管理站点上的系统资源保护工作。
在这份草案中,将介绍Gazelle,它是包含多种主流
操作系统结构的安全Web浏览器。 Gazelle浏览器的核心是一个操作系统,可以通过管理主要站点上的资源保护和分享。