מוזילה נערכת ליישום בידוד אתרים

Darkcrizt

4 דקות

בידוד אתרי Firefox

באופן כללי, אתרים אינם יכולים לגשת לנתונים מאתרים אחרים באינטרנט בדפדפן באמצעות אותה מדיניות מקור.

עם זאת, אתרים זדוניים עלולים לנסות לעקוף מדיניות זו כדי לתקוף אתרים אחרים. ומדי פעם, באגי אבטחה נמצאים בקוד הדפדפן החול על אותה מדיניות מקור.

צוות Chrome שואף לתקן שגיאות אלה במהירות האפשרית.

כיצד פועל בידוד אתרים

צריך לזכור את זה ל- Chrome תמיד הייתה ארכיטקטורה מרובת תהליכים כאשר כרטיסיות שונות יכולות להשתמש בתהליכי עיבוד שונים.

כרטיסייה מסוימת יכולה אפילו לשנות את התהליכים כשאתה מנווט לאתר חדש במקרים מסוימים. עם זאת, עדיין היה אפשרות לדף התוקף לשתף תהליך עם דף הקורבן.

לדוגמה, iframes בין אתרים וחלונות קופצים לאתרים נשארים לרוב באותו תהליך כמו הדף שיצר אותם.

זה יאפשר להתקפת ספקטרום מוצלחת לקרוא נתונים (למשל, קובצי Cookie, סיסמאות וכו ') השייכים למסגרות או חלונות קופצים אחרים בתהליך שלך.

בידוד אתרים(בידוד אתרים) היא תכונת אבטחה של Chrome הוא מספק קו הגנה נוסף כך שמתקפות אלה פחות נוטות להצליח.

זה מבטיח כי דפי האתרים השונים ממוקמים תמיד בתהליכים שונים, שכל אחד מהם פועל בארגז חול שמגביל את מה שהתהליך יכול לעשות.

זה גם מונע מהתהליך לקבל סוגים מסוימים של נתונים רגישים מאתרים אחרים.

לכן, עם בידוד אתרים, הרבה יותר קשה לאתר זדוני להשתמש בהתקפות ערוץ צדדיות ספקולטיביות כמו ספקטר כדי לגנוב נתונים מאתרים אחרים.

כאשר בידוד אתרים מופעל, כל תהליך טיוח מכיל מסמכים של לא יותר מאתר אחד.

המשמעות היא שכל ניווט המסמכים בין אתרים גורם לשינוי כרטיסייה בתהליכים. המשמעות היא גם שכל iframes חוצה אתרים ממוקמים בתהליך שונה מהמסגרת העיקרית שלהם, תוך שימוש ב- iframes מחוץ לתהליך.

פיירפוקס ופרטיות

Firefox ייכנס באופן רשמי לבידוד בתורו.

אחרי שנה של הכנות חשאיות, מוזילה הודיעה על כוונתה ליישם תכונת בידוד אתרים.

תכונת בידוד האתרים של כרום תוכננה כמנגנון אבטחה לדפדפן כרום שנים לפני שחרורו, אך יישומה התואם עם הגילוי הציבורי של כשלים במעבד Meltdown ו- Specter, אשר בידוד האתרים הוקלט במלואם.

מוזילה, שסיפקה גם את תיקוני התכה וספקטר כדי להפחית את הדיוק של פונקציות JavaScript שונות ב- Firefox, מצא שהגישה של גוגל לפגמים במעבדים עדיפה מכיוון שהוא מאפשר גם למנוע מעללים דומים בעתיד ובעיות אבטחה רבות אחרות.

ניקה לייזל, מפתחת חברת מוזילה, אמרה כי הקרן החלה לעבוד על מנגנון בידוד אתרים דומה. בשנה שעברה במסגרת פרויקט עם שם הקוד הפנימי Project Fission.

במהלך השנה האחרונה פעלנו לפיתוח בסיס הביקוע על ידי תכנון תשתיות חדשות. בשבועות ובחודשים הקרובים נצטרך את עזרתם של כל צוותי Firefox בכדי להתאים את הקוד שלנו לארכיטקטורה של הדפדפן לאחר הפיצול.

ארכיטקטורת הדפדפן שלאחר הפיצוץ שלייזל מתייחסת אליה דומה לפעולה הנוכחית של Chrome. מפתחי Mozilla גם מתכננים לבודד כל אתר שהמשתמש ניגש אליו בתהליך נפרד.

נכון לעכשיו, Firefox מגיע עם תהליך עבור ממשק המשתמש של הדפדפן וכמה תהליכים (שניים עד עשר) עבור קוד Firefox לעיבוד אתרים.

עם פרויקט ביקוע, תהליכים אחרונים אלה ישונו וייווצר תהליך נפרד לכל אתר אליו המשתמש משתמש.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   מיגל דיג'ו
    hace 5 שנים

    הניסוח מוזר

    תשובה למיגל