Native Client

### Native Client: 一种用于可移植、不可信的 x86 本机代码的沙箱 #### 摘要 本文介绍了 **Google Native Client** 的设计、实现与评估，这是一种针对不可信 x86 本机代码的沙箱技术。Native Client 的目标是使基于浏览器的应用程序能够达到本地应用程序的计算性能，同时不牺牲安全性。它通过软件故障隔离和安全运行时来控制系统交互和副作用，确保所有接口都经过 Native Client 管理。 #### 核心概念 **软件故障隔离 (Software Fault Isolation, SFI)**：该技术的核心是软件故障隔离，它通过限制代码的访问权限，将不可信的本机代码限制在一个安全的环境中执行。这种机制可以防止恶意代码直接访问系统资源，从而保护系统的完整性。 **安全运行时 (Secure Runtime)**：Native Client 提供了一个安全的运行环境，所有对外部系统的调用都被重定向到由 Native Client 控制的接口，这使得即使存在漏洞的代码也无法滥用系统权限进行攻击。 **操作系统可移植性 (Operating System Portability)**：尽管 Native Client 针对的是 x86 架构，但它支持二进制代码的操作系统可移植性，这意味着开发人员可以在不同的操作系统上部署相同的二进制代码而无需重新编译或修改。 **性能特性 (Performance-Oriented Features)**：为了提高性能，Native Client 支持多线程、指令集扩展（如 SSE）以及编译器内建函数和手写汇编代码等特性，这些都是传统 Web 应用编程环境所缺乏的。 #### 建立开放架构 Native Client 设计为一个开放架构，鼓励社区审查和第三方工具的开发。这有助于提升项目的透明度，并促进了更广泛的社区参与，从而加速了技术的发展和改进。 #### 浏览器平台局限性 虽然现代浏览器作为应用平台已经取得了显著的进步，但它们仍然受到计算性能的限制。尽管硬件社区遵循摩尔定律不断提高性能，许多应用在浏览器中运行良好，但仍有一些计算密集型任务由于性能限制而难以在浏览器中实现，例如牛顿物理模拟、计算流体动力学和高分辨率场景渲染。 #### 扩展机制 为了解决这些问题，现代浏览器提供了扩展机制，如 ActiveX 和 NPAPI，允许在浏览器内部署本机代码。然而，这些方法往往带来了新的安全风险，并且可能不适用于所有浏览器平台。 #### Native Client 的优势 - **安全性**：Native Client 通过严格的沙箱机制确保了代码的安全执行。 - **性能**：通过直接支持高性能特性，如多线程和特定的指令集扩展，提高了计算密集型应用的性能。 - **兼容性**：支持跨操作系统的二进制可移植性，简化了开发流程。 - **开放性**：开源模型鼓励社区贡献和第三方工具的开发，增强了项目的生命力。 #### 结论 Google Native Client 是一项旨在解决浏览器平台计算性能局限性的创新技术。通过结合软件故障隔离和安全运行时，Native Client 为不可信的 x86 本机代码提供了一种既高效又安全的执行环境。此外，它的开放架构设计有助于推动社区的积极参与和技术的持续发展。对于那些希望利用浏览器平台的优势而又不受其性能限制的应用开发者来说，Native Client 提供了一个理想的解决方案。