Secara umum, situs web tidak dapat mengakses data dari situs lain web di browser melalui kebijakan asal yang sama.
Namun, situs berbahaya mungkin mencoba mengelak dari kebijakan ini untuk menyerang situs web lain. dan terkadang, bug keamanan ditemukan di kode browser yang menerapkan kebijakan asal yang sama.
Tim Chrome bertujuan untuk memperbaiki kesalahan ini secepat mungkin.
Cara kerja isolasi situs
Harus diingat itu Chrome selalu memiliki arsitektur multi-proses di mana tab yang berbeda dapat menggunakan proses rendering yang berbeda.
Tab tertentu bahkan dapat mengubah proses saat Anda menavigasi ke situs baru dalam beberapa kasus. Namun, masih mungkin bagi halaman penyerang untuk berbagi proses dengan halaman korban.
Misalnya, iframe lintas situs dan pop-up situs sering kali tetap dalam proses yang sama seperti halaman yang membuatnya.
Ini akan memungkinkan serangan Spectrum berhasil membaca data (mis. cookie, sandi, dll.) yang termasuk dalam bingkai atau munculan lain dalam proses Anda.
Isolasi situs(Isolasi situs) adalah fitur keamanan Chrome Ini memberikan garis pertahanan tambahan sehingga serangan ini cenderung tidak berhasil.
Ini memastikan bahwa halaman dari situs web yang berbeda selalu ditempatkan dalam proses yang berbeda, masing-masing berjalan di kotak pasir yang membatasi apa yang dapat dilakukan proses.
Ini juga mencegah proses menerima jenis data sensitif tertentu dari situs lain.
Oleh karena itu, dengan isolasi situs, jauh lebih sulit bagi situs web berbahaya untuk menggunakan serangan saluran samping spekulatif seperti Spectre untuk mencuri data dari situs lain.
Saat isolasi situs diaktifkan, Setiap proses rendering berisi dokumen tidak lebih dari satu situs.
Ini berarti bahwa semua navigasi dokumen antar situs menyebabkan perubahan tab dalam prosesnya. Ini juga berarti bahwa semua iframe lintas situs ditempatkan dalam proses yang berbeda dari bingkai utamanya, menggunakan iframe di luar proses.
Firefox secara resmi akan masuk ke isolasi secara bergantian.
Setelah setahun persiapan rahasia, Mozilla telah mengumumkan niatnya untuk menerapkan fitur isolasi situs.
Fitur isolasi situs Chrome dirancang sebagai mekanisme keamanan untuk browser Chrome bertahun-tahun sebelum dirilis, tetapi implementasinya bertepatan dengan pengungkapan publik atas kegagalan prosesor Meltdown dan Spectre, yang dimitigasi oleh isolasi situs secara penuh.
Mozilla, yang juga menyediakan patch Meltdown dan Spectre untuk mengurangi ketepatan berbagai fungsi JavaScript di Firefox, menemukan bahwa pendekatan Google terhadap kekurangan prosesor lebih unggul karena itu juga memungkinkan menghindari eksploitasi serupa di masa mendatang dan banyak masalah keamanan lainnya.
Nika Layzell, seorang pengembang di Mozilla, mengatakan yayasan telah mulai mengerjakan mekanisme isolasi situs serupa. tahun lalu sebagai bagian dari proyek dengan nama kode internal Project Fission.
Selama setahun terakhir, kami telah berupaya mengembangkan basis Fisi dengan merancang infrastruktur baru. Dalam beberapa minggu dan bulan mendatang, kami memerlukan bantuan dari semua tim Firefox untuk menyesuaikan kode kami dengan arsitektur browser pasca-Fisi.
Arsitektur browser pasca-Fisi yang dirujuk Layzell mirip dengan operasi Chrome saat ini. Pengembang Mozilla juga berencana untuk mengisolasi setiap situs web yang diakses pengguna dalam proses terpisah.
Saat ini, Firefox hadir dengan proses untuk antarmuka pengguna browser dan beberapa proses (dua hingga sepuluh) untuk kode Firefox untuk merender situs web.
Dengan Project Fission, proses terakhir ini akan dimodifikasi dan proses terpisah akan dibuat untuk setiap situs web yang diakses oleh pengguna.
Kata-katanya aneh