Google ha anunciat un reforç per "Site Isolation" a Chrome, que permet el processament de pàgines de diferents llocs en processos aïllats per separat. La manera d'aïllament a nivell de el lloc permet protegir l'usuari d'atacs que poden dur-se a terme a través de blocs de tercers utilitzats en el lloc, com inserits de iframe o per bloquejar la fuga de dades a l'incrustar blocs legítims en llocs maliciosos.
Quan se separen els controladors en relació amb un domini, Només es troben dades d'un lloc a cada procés, la qual cosa dificulta la realització d'atacs destinats a la captura de dades entre llocs. En les versions d'escriptori de Chrome, la separació de controladors en un enllaç a un domini, no una pestanya, s'ha implementat des de Chrome 67. En Chrome 77, es va activar una manera similar per a la plataforma Android.
Per reduir la sobrecàrrega, la manera d'aïllament de el lloc en Android s'habilita només si la pàgina està bloquejada amb una contrasenya.
Chrome recorda el fet d'usar una contrasenya i inclou protecció per a totes les visites posteriors a el lloc. La protecció també s'aplica immediatament a una llista seleccionada de llocs predefinits populars entre els usuaris de dispositius mòbils.
El mètode d'activació selectiva i les optimitzacions addicionals van permetre mantenir el creixement de l'consum de memòria a causa d'un augment en el nombre de processos en execució en un nivell mitjà de 3-5%, en lloc de l'10-13% observat a l'activar l'aïllament per a tots els llocs.
Site Isolation a Chrome per millorar la seguretat
En la versió d'escriptori de Chrome, la manera de Site Isolation esmentat ara s'enforteix per contrarestar els atacs destinats a comprometre completament el procés de contingut.
Una manera d'aïllament millorat protegirà les dades de el lloc de dos tipus addicionals d'amenaces: fUgas de dades com a resultat d'atacs a través de canals de tercers, com Spectre i fuites després d'un compromís complet de l'procés a l'explotar amb èxit les vulnerabilitats que permeten obtenir el control sobre el procés, però no prou com per eludir aïllament de la sandbox. En Chrome per Android, aquesta protecció es afegirà més endavant.
L'essència de l'mètode és que el procés de control recorda quin lloc té accés el flux de treball i prohibeix l'accés a altres llocs, fins i tot si l'atacant obté el control de l'procés i intenta obtenir accés als recursos d'un altre lloc.
Les restriccions cobreixen recursos relacionats amb l'autenticació (Contrasenyes emmagatzemades i galetes), dades descarregades directament a través de la xarxa (filtrats i vinculats a el lloc actual HTML, XML, JSON, PDF i altres tipus d'arxius), dades en emmagatzematges interns (localStorage), permisos (emesos per lloc de permís d'accés de micròfon, etc.) i missatges transmesos a través de les API postMessage i BroadcastChannel.
Tots aquests recursos estan vinculats per una etiqueta amb el lloc d'origen i es verifiquen al costat de el procés de control per a la possibilitat de transferència per sol·licitud des del flux de treball.
Dels esdeveniments relacionats amb Chrome, també podem observar el començament de la declaració de que Chrome admetrà el suport de desplaçament a text, El que permet vincular paraules o frases individuals sense etiquetar explícitament el document utilitzant l'etiqueta «a name» o la propietat «id». Es planeja que la sintaxi d'aquests enllaços s'aprovi com un estàndard web, que encara es troba en l'etapa d'esborrany.
Un altre canvi que ve interessant en Chrome és la possibilitat de congelar pestanyes inactives, el que li permet descarregar automàticament de les pestanyes de memòria que estan en segon pla durant més de 5 minuts i no realitzar accions significatives.
¿Com activar Site Isolation a Chrome?
El nou mode d'aïllament s'activa per al 99% dels usuaris de Chrome 77 i també en dispositius Android equipats amb al menys 2 GB de RAM (per a l'1% dels usuaris, la manera roman desactivat per monitoritzar el rendiment).
Per als que estiguin interessats en habilitar això, poden habilitar o fins i tot desactivar aquesta funció manualment a través de la configuració «Chrome: // flags / # enable-site-per-process».