Mozilla se prépare à mettre en œuvre l'isolation de site

Darkcrizt

Minutes 4

Isolation du site Firefox

En général, les sites Web ne peuvent pas accéder aux données d'autres sites web dans le navigateur via la même politique d'origine.

Cependant, des sites malveillants peuvent tenter de contourner cette politique pour attaquer d'autres sites Web. et parfois, des bogues de sécurité se trouvent dans le code du navigateur qui applique la même politique d'origine.

L'équipe Chrome vise à corriger ces erreurs le plus rapidement possible.

Fonctionnement de l'isolation de site

Il faut se rappeler que Chrome a toujours eu une architecture multi-processus où différents onglets pourraient utiliser différents processus de rendu.

Un certain onglet peut même modifier les processus lorsque vous accédez à un nouveau site dans certains cas. Toutefois, il était toujours possible pour la page d'un attaquant de partager un processus avec la page d'une victime.

Par exemple, les iframes intersites et les fenêtres contextuelles de site restent souvent dans le même processus que la page qui les a créés.

Cela permettrait à une attaque Spectrum réussie de lire les données (par exemple, cookies, mots de passe, etc.) appartenant à d'autres cadres ou fenêtres contextuelles de votre processus.

Isolation du site(Isolation du site) est une fonctionnalité de sécurité de Chrome Il fournit une ligne de défense supplémentaire pour que ces attaques aient moins de chances de réussir.

Il garantit que les pages des différents sites Web sont toujours placées dans des processus différents, dont chacun s'exécute dans un bac à sable qui limite ce que le processus peut faire.

Cela empêche également le processus de recevoir certains types de données sensibles d'autres sites.

Par conséquent, avec l'isolation du site, il est beaucoup plus difficile pour un site Web malveillant d'utiliser des attaques spéculatives par canal secondaire comme Spectre pour voler des données à d'autres sites.

Lorsque l'isolation de site est activée, Chaque processus de rendu contient des documents provenant de pas plus d'un site.

Cela signifie que toutes les navigations de documents entre les sites provoquent un changement d'onglet dans les processus. Cela signifie également que toutes les iframes intersites sont placées dans un processus différent de leur cadre principal, en utilisant des iframes hors processus.

Firefox et la confidentialité

Firefox entrera officiellement dans l'isolement à son tour.

Après un an de préparatifs secrets, Mozilla a annoncé son intention de mettre en œuvre une fonctionnalité d'isolation de site.

La fonction d'isolation de site de Chrome a été conçue comme un mécanisme de sécurité pour le navigateur Chrome des années avant sa sortie, mais sa mise en œuvre a coïncidé avec la divulgation publique des pannes des processeurs Meltdown et Spectre, que l'isolation du site a complètement atténuée.

Mozilla, qui a également fourni les correctifs Meltdown et Spectre réduire la précision des différentes fonctions JavaScript dans Firefox, a constaté que l'approche de Google concernant les défauts du processeur était supérieure car il permettait également d'éviter de futurs exploits similaires et de nombreux autres problèmes de sécurité.

Nika Layzell, développeur chez Mozilla, a déclaré que la fondation avait commencé à travailler sur un mécanisme d'isolation de site similaire. l'année dernière dans le cadre d'un projet avec le nom de code interne Project Fission.

Au cours de la dernière année, nous avons travaillé au développement de la base de fission en concevant de nouvelles infrastructures. Dans les semaines et mois à venir, nous aurons besoin de l'aide de toutes les équipes de Firefox pour adapter notre code à une architecture de navigateur post-Fission.

L'architecture du navigateur post-Fission à laquelle Layzell fait référence est similaire au fonctionnement actuel de Chrome. Les développeurs de Mozilla prévoient également d'isoler chaque site Web auquel l'utilisateur accède dans un processus distinct.

Actuellement, Firefox est livré avec un processus pour l'interface utilisateur du navigateur et certains processus (deux à dix) pour le code Firefox pour le rendu des sites Web.

Avec Project Fission, ces derniers processus seront modifiés et un processus distinct sera créé pour chaque site Web auquel l'utilisateur accède.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   miguel dit
    il ya 5 ans.

    Le libellé est bizarre

    Répondre à miguel