Gazelle: Microsoft auf dem Weg zum BrowserOS

Browser mit Sicherheitskonzept für das Web 2.0

Mit Gazelle hat Microsoft ein Betriebssystem für Webapplikationen entwickelt. Der schlanke Browser Kernel kümmert sich exklusiv um die Verteilung von Ressourcen an einzelne Applikationen und deren Kommunikation untereinander. Die Applikationen laufen dabei abgeschottet voneinander.

Forscher von Microsoft Research und den Universitäten Illinois in Urbana-Champaign und Washington haben ein Konzept für einen sicheren Webbrowser entwickelt, der als sogenanntes Multi-Principal-Betriebssystem arbeitet. "Gazelles Browser Kernel ist ein Betriebssystem, das exklusiv die Ressourcen verwaltet und an mehrere Website-Principals verteilt", beschreiben die Forscher ihr System.

Um Webapplikationen voneinander abzuschotten, setzt Gazelle auf mehrere Prozesse, ähnlich wie der Internet Explorer 8 oder Google Chrome. Gazelle geht aber einen Schritt weiter: Jeder sogenannte Prinzipal erhält einen eigenen Prozess. Gazelle betrachtet dabei jede Domain als eigenen Prinzipal. Selbst wenn eine Seite eine andere in Form eines IFrame einbettet, führt Gazelle diese in unterschiedlichen Instanzen aus.

Eine einzelne Prinzipal-Instanz umfasst HTML- und Stylesheet-Parser, JavaScript-Engine, Layout-Renderer und Browser-Plug-ins. Als Bindeglied zwischen den unterschiedlichen Instanzen dient Gazelles Browser Kernel. Sämtliche Kommunikation zwischen den einzelnen Instanzen muss mittels Systemaufrufen über den Browser Kernel abgewickelt werden. Das entspricht dem Muster einer Inter-Prozess-Kommunikation (IPC). Der Browser Kernel stellt zudem die Schnittstelle zum darunterliegenden Betriebssystem dar, ist selbst aber sehr einfach gehalten und in nur 5.000 Zeilen C#-Code implementiert.

Basis-Architektur (links), Gazelle-Architektur (rechts)

Gazelle setzt zudem konsequent auf die Same-Origin-Policy (SOP), um die einzelnen Prinzipale voneinander abzugrenzen: Nur Inhalte, die mit dem gleichen Protokoll, von der gleichen Domain über den gleichen Port übertragen werden, laufen innerhalb einer Instanz. Aktuelle Browser gehen zwar ähnlich vor, erlauben es aber beispielsweise, Inhalte, die über HTTP und HTTPS übertragen werden, nach kurzer Rückfrage zu mischen. Zudem wird das SOP-Prinzip auch auf Cookies und Plug-ins angewandt.

Ihr Konzept haben die Forscher in einem Prototypen implementiert, der unter Windows Vista mit dem .NET-Framework 3.5 läuft. HTML-Parser sowie Rendering- und JavaScript-Engine wurden vom Internet Explorer 7 übernommen, auch um zu zeigen, dass sich Gazelles Sicherheitskonzept auf aktuelle Browser anwenden lässt. Um sicherzustellen, dass die neue Sicherheitsarchitektur mit bestehenden Websites funktioniert, wurden die Top-20-Seiten bei Alexa getestet.

Zumindest in der prototypischen Implementierung bremst Gazelle die Darstellung von Websites allerdings aus. Auf einem Rechner mit Intels Core 2 Duo mit 2,66 GHz und 2 GByte RAM dauert die Anzeige von google.com mit Gazelle rund 471 ms länger als mit dem Internet Explorer 7. Bei NYTimes.com sind es sogar 4 Sekunden. Die Forscher gehen aber davon aus, dass sich dieser Overhead in einer Applikation für den produktiven Einsatz zu großen Teilen eliminieren lässt.

Derzeit ist Gazelle nur ein Forschungsprojekt, das die Forscher Helen Wang, Chris Grier, Alexander Moshchuk, Samuel King, Piali Choudhury und Herman Venter in ihrem Aufsatz The Multi-Principal OS Construction of the Gazelle Web Browser beschreiben. Ob und wann Microsoft die hier aufgezeigten Ideen in seinen Browsern einsetzen wird, ist derzeit nicht abzusehen.