De veiligheid van een internetbrowser wordt bepaald door hoeveel moeite de ontwikkelaar steekt in het oplossen van andermans problemen. Dat zegt Chris Evans, hoofd van het Google Chrome Security Team. Tegenwoordig is het niet meer de browser waardoor gebruikers besmet met malware raken, maar de geinstalleerde plug-ins. De meeste browsers beschikken of zullen in korte tijd beschikken over automatisch updates, sandboxing en hebben een lange geschiedenis van fuzzing en beveiligingsonderzoek. "Deze factoren, gecombineerd met een gebalanceerde distributie, maakt het oneconomisch voor massa malware om zich op de browser te richten", aldus Evans.

Aandacht
Plug-ins zijn een aantrekkelijk doelwit omdat ze een veel groter marktaandeel dan zelfs de populairste browser hebben. "En veel plug-ins hebben niet dezelfde security-aandacht kregen die browsers de afgelopen jaren wel ontvingen" Keken browserontwikkelaars voorheen alleen naar hun eigen platform, vandaag de dag kan dat niet meer, merkt Evans op.

Als voorbeeld geeft hij recente statistieken van een Blackhole Exploit-kit. Deze toolkit gebruikt verschillende kwetsbaarheden om ongepatchte internetgebruikers met malware te infecteren. Het aantal besmette Chrome-gebruikers ligt rond de nul procent, terwijl Internet Explorer en Firefox voor elk van zo'n 15% van de infecties verantwoordelijk zijn.

Bescherming
Het gaat dan om aanvallen tegen oude Java, Adobe Reader en Flash Player plug-ins. Het grote verschil wordt volgens Evans verklaard door de investering die Google deed in het oplossen van andermans problemen. Het gaat dan om het blokkeren van verouderde en minder vaak gebruikte plug-ins, zoals Java, RealPlayer en Shockwave, het inbedden van een Flash plugin die automatisch met de browser wordt bijgewerkt, een lichtgewicht PDF-lezer die in een sandbox draait en nog verschillende andere maatregelen.

"De grootste winst op het gebied van browserveiligheid in de afgelopen jaren, komt van browserleveranciers die beschermen tegen de problemen van andere mensen." De veiligheid van een browser wordt dan ook bepaald hoeveel moeite de ontwikkelaar in deze problemen steekt, besluit Evans.