Google включил в Chrome защитную технологию, которая значительно усложнит атакам, подобным Spectra, кражу такой информации, как учетные данные для входа.

Эта технология безопасности, получившая название «Изоляция сайта», имеет десятилетнюю историю. Но совсем недавно он упоминался как щит для защиты от угроз, создаваемых Spectre, уязвимости процессора, обнаруженной собственными инженерами Google более года назад. В конце 2017 года Google представила Site Isolation в Chrome 63, предоставив возможность ИТ-сотрудникам предприятия, которые могут настроить защиту, защищать работников от угроз, размещаемых на внешних сайтах. Администраторы компании могут использовать объекты групповой политики Windows - объекты групповой политики - а также флаги командной строки до более широкого развертывания с помощью групповых политик.

Позже, в Chrome 66, который был запущен в апреле, Google открыл полевое тестирование для обычных пользователей, которые могли включить изоляцию сайта с помощью опции chrome: // flags . Google ясно дал понять, что изоляция сайта в конечном итоге будет установлена ​​в браузере по умолчанию, но сначала компания хотела проверить исправления, устраняющие проблемы, возникшие в ходе предыдущих испытаний. Пользователи смогли отказаться от участия в пробной версии, изменив один из параметров на странице параметров.

Теперь Google включил изоляцию сайта для подавляющего большинства пользователей Chrome - 99% из них за счет поискового гиганта. «Многие известные проблемы были решены с тех пор (Chrome 63), что делает практичным включение по умолчанию для всех пользователей настольных компьютеров Chrome», - написал Чарли Рейс, инженер-программист Google. разместить в блоге компании ,

Изоляция сайта, пояснил Рейс: «Это большое изменение в архитектуре Chrome, которое ограничивает каждый процесс визуализации документами с одного сайта». Если включена изоляция сайта, злоумышленникам будет запрещено делиться своим контентом в процессе Chrome, назначенном контенту веб-сайта.

«Когда включена изоляция сайта, каждый процесс рендеринга содержит документы не более чем с одного сайта», - продолжил Рейс. «Это означает, что все переходы к межсайтовым документам приводят к переключению процессов на вкладке. Это также означает, что все межкадровые фреймы помещаются в процесс, отличный от их родительского фрейма, с использованием« фреймов вне процесса ».« Это, Рейс было добавлено, что было внесено серьезное изменение в работу Chrome, и это было разработкой инженеров в течение нескольких лет, задолго до того, как был обнаружен Spectre.

Тема диссертации Рейса почти десять лет назад была посвящена этой теме, и команда Chrome работала над ней в течение шести лет.

Google

Если функция изоляции сайтов включена по умолчанию в 99% всех экземпляров Chrome для настольных компьютеров, диспетчер задач браузера проверяет, запущена ли защита. Обратите внимание на различные номера процессов для вкладки, предназначенной для потоковой передачи музыки SiriusXM, и подкадра под ней.

«Это чрезвычайно впечатляющее достижение» написал в Твиттере Эрик Лоуренс Бывший старший инженер-программист в Google, а теперь главный программный менеджер в конкурентной компании Microsoft. «Google потратил много инженерных лет на функцию, которая изначально казалась безнадежно безумной из POV« затраты / выгода »[с точки зрения]. А потом, вдруг, это был не просто красивый DiD [защита- в глубину], но вместо этого необходимая защита от класса атак ".

Другие тоже вмешались. «Текущая версия защищает только от атак утечки данных (например, Spectre), но ведется работа по защите от атак скомпрометированных средств визуализации», Джастин Шух написал , главный инженер и директор по безопасности Chrome. «Мы также еще не поставляли Android, так как все еще работаем над проблемами потребления ресурсов».

Компания признала, что потребление ресурсов может не являться «проблемой», предписанной Google для Site Isolation, но при использовании этой технологии существуют некоторые компромиссы. «Из-за большего числа процессов общая нагрузка на память в реальных рабочих нагрузках составляет около 10–13%», - сказал Рейс, а затем добавил, что инженеры продолжают работать над снижением этой нагрузки на память.

По крайней мере, оценка дополнительной памяти меньше, чем раньше. Еще когда Chrome 63 дебютировал с Site Isolation, Google признал, что его использование увеличит использование памяти до 20%.

Пользователи смогут проверить, включена ли изоляция сайтов - что они не являются частью 1%, оставленных на холоде в рамках усилий Google по «мониторингу и повышению производительности» - в Chrome 68, который будет запущен позднее в этом месяце. набрав chrome: // process-internals в адресной строке. (Это не работает в Chrome 67 и более ранних версиях.) В настоящее время проверка требует больше работы со стороны пользователя: она изложена в этом документе в подзаголовке «Проверка». Computerworld использовал последний, чтобы убедиться, что в его экземплярах Chrome включена изоляция сайтов.

[Примечание. Изоляция сайта включена почти во всех экземплярах Chrome, хотя элемент «Строгая изоляция сайта» на странице настроек chrome: // flags показывает «Отключено». Чтобы отключить изоляцию сайта, пользователи должны вместо этого изменить пункт «Отказ от пробной изоляции сайта» на «Отказ (не рекомендуется)».]

По словам Рейс, изоляция сайта должна быть включена в Chrome 68 для Android. Дополнительные функции также будут добавлены в настольную версию браузера. «Мы также работаем над дополнительными проверками безопасности в процессе браузера, которые позволят Site Isolation смягчать не только атаки Spectre, но и атаки полностью скомпрометированных процессов визуализации», - написал он. «Следите за обновлениями об этих мерах по обеспечению соблюдения».

Похожие

Комментарии