Google fejrede i går sin dugfriske browser Chrome i Danmark, hvor store dele af udviklingen har fundet sted.
Men mellem klapsalver, blinkende blitz og beundrende blikke fra studerende på IT Univesitetet på Amager måtte de danske udviklere også lægge ryg til den kritik, som blandt andet danske CSIS har rejst af browseren.
Sikkerhedsfirmaet har blandt andet opfordret virksomheder til at vente med at bruge Chrome.
Lars Bak er leder af det danske kontor, som har bidraget med den nye javascript engine, V8, til Chrome. Han afviste CSIS' kritik på gårsdagens pressemøde. Blandt andet påstanden om at Chrome indeholder en rootkit-lignende funktionalitet gav ham en skuffet mine.
»Det er skudt noget forbi. Som jeg har forklaret i dag, så henter vi opdateringer fra serveren og opdaterer browseren, som man opdaterer sit virusprogram. Vi har skodder mellem tabs og privilegier er taget fra de processer, som kører brugerkoden. At der skulle være et rootkit, er klart ikke sandt,« sagde Lars Bak, der affærdiger de senest fundne sårbarheder med, at Chrome stadig er i beta.
»Der har selvfølgelig været nogle fejl, som har været i nyhederne, og som er blevet rettet, og to dage efter var der en ny version ude. Jeg synes, at vi gør meget for at fikse problemer. Chrome er en sikker browser. Den har tilføjet yderligere dimensioner til sikkerhed for browsere,« fortsætter Lars Bak, der i går efterlyste konkrete fejlrapporter fra CSIS.
Det er noget sjusk
Men Googles afvisning af Chromes sikkerhedshuller får ikke Peter Kruse fra sikkerhedsfirmaet CSIS til at klappe i.
Han vedkender sig dog, at det var misvisende at bruge udtrykket rootkit, da ordet har en generel negativ klang. Han vedkender sig, at den funktionalitet, som kan beskrives som rootkit er en del af Googles bestræbelser på at lave en mere sikker browser. Men det rokker ikke ved det faktum, at browseren ringer hjem til Google, som man kender fra rootkits.
Og derfor ændrer han ikke sin generelle kritik.
»Grundlæggende har der jo indtil videre været 4-5 sårbarheder, og jeg ved, at der er meldinger om yderligere to på vej. En af sårbarhederne hænger sammen med, at Google bruger den samme rendering som Safari. Safari blev for et stykke tid siden ramt af "carpet bombing". Og så optrådte den samme fejl i Chrome. Det er simpelthen noget sjusk. Sådan noget skal man skal rette op på, når der allerede ligger korrigeret sourcekode. Især når man frigiver et så stort produkt, som kommer meget bredt ud,« siger Peter Kruse.
Han peger også på, at Chrome har haft en sårbarhed vedrørende et buffer overflow, og at man ved at taste en simpel about-kommando i adresselinjen kunne få browseren til at crashe.
»Det burde ikke være i en browser, som de siger er sikker!«
Automatiske opdateringer
At Google opdaterer Chrome på samme måde som antivirusprogrammer bliver opdateret, vækker heller ikke begejstring hos Peter Kruse.
»Hvis der er noget vi ikke kan lide i sikkerhedsbranchen så er det lukkethed, og der er meget lukkethed omkring deres sikkerhedsopdateringer. Det er normalt at fortælle, hvad man retter, men Chromes changelogs indeholder ingen informationer om det,« siger Peter Kruse.
»Så længe opdateringerne skyldes sikkerhed, så mener vi, at det er en god idé. Men hvis det handler om ny funktionalitet, så er det bestemt ikke en god idé,« siger Peter Kruse.
Han henviser til, at systemadministratorer ikke kan se, hvilke mulige kombatibilitetsproblemer der kan opstå, hvis de ikke har mulighed for at se, hvad en sikkerhedsopdatering indeholder.
Dermed understreger han, at CSIS' advarsel mod brug af Chrome udelukkende er tiltænkt virksomheder. Overordnet har han dog også gode ting at sige om Chrome.
»Den er tydeligvis meget hurtigere. Vi har også kigget i kildekoden og der er mange spændende ting ved Chrome, som andre browsere kan lære af og som kan gøre browsere mere sikre på sigt, men det, vi forholder os til, er nutiden," siger han.
Lars Bak er generelt glad for modtagelsen af det produkt, som han har været med til at kæmper for gennem to år.
»Altoverskyggende så har pressen været meget positiv omkring Chrome. Der er selvfølgelig altid varierende meninger, men generelt set har meldingerne været positive - nok i kraft af, at vi har lavet alt open source, så kan alle se, hvad vi laver. De kan downloade koden og de kan bidrage. Det gør jo, at det er et meget åbent system,« siger han.
«Jeg har brugt Chrome i et år. Det samme har mange af mine kolleger, og på nordjysk bliver jeg nødt til at sige, at det ikke er en "så ringe browser endda"« lyder det fra Lars Bak med underspillet stolthed i stemmen.
