参考阅读：

http://queue.acm.org/detail.cfm?id=1556050


这个架构和 Gazelle 很像啊!

不过做的没有 Gazelle 严格，当然 Gazelle 还只是实验室的东西。

Google Chrome 主要从三方面加强安全

• The severity of vulnerabilities. By sandboxing their rendering engine, browsers can reduce the severity of vulnerabilities. Sandboxes limit the damage that can be caused by an attacker who exploits a vulnerability in the rendering engine.
• The window of vulnerability. Browsers can reduce this window by improving the user experience for installing browser updates, thus minimizing the number of users running old versions that lack security patches.
• The frequency of exposure. By warning users before they visit known malicious sites, browsers can reduce the frequency with which users interact with malicious content.

为了将来的跨平台，与OS之间的sandbox在未来应该是可以替换的，比如到linux上可以换成apparmor等。

Browser Kernel 只负责画画UI，网络连接，与文件系统交互等基本工作。

而 Rendering Engine 则是负责解析HTML，javascript 等工作

在windows上直接用了windows的防御机制，包括DEP,SAFESEH,GS,ASLR等技术。

看完paper后，我感觉将来还是有几个途径可能造成隐患的，因为并非是完全隔绝：

1. Browser Kernel 会读取文件系统中的文件，加载到内存中的一个cache里，Rending Engine 需要从 Cache 读数据。

2. 第三方软件比如 flash, Silverlight 等没有走 Sandbox, 他们的安全完全是依赖于自己的实现。

3. Rending Engine 还是可以向 Browser Kernel 发送消息，虽然是走IPC,有严格限制

4. 同源策略不如 Gazelle 紧，某些时候在一个进程内还是能够访问不同源的数据


自动升级方面用的是 Omaha, 每过5分钟检查一次update，如果有更新就下载到本地，下次启动浏览器会更新。

恶意网站监测方面也是用的 StopBadWare.org 的库。这两点没太多可说的。