Nói chung, các trang web không thể truy cập dữ liệu từ các trang khác web trong trình duyệt thông qua cùng một chính sách nguồn gốc.
Tuy nhiên, các trang web độc hại có thể cố gắng lách chính sách này để tấn công các trang web khác. và đôi khi, các lỗi bảo mật được tìm thấy trong mã trình duyệt áp dụng cùng một chính sách nguồn gốc.
Nhóm Chrome đặt mục tiêu khắc phục những lỗi này nhanh nhất có thể.
Cách hoạt động của tính năng phân lập trang web
Cần nhớ rằng Chrome luôn có kiến trúc đa quy trình nơi các tab khác nhau có thể sử dụng các quy trình kết xuất khác nhau.
Một tab nhất định thậm chí có thể thay đổi các quy trình khi bạn điều hướng đến một trang web mới trong một số trường hợp. Tuy nhiên, trang của kẻ tấn công vẫn có thể chia sẻ quy trình với trang của nạn nhân.
Ví dụ: iframe trên nhiều trang web và cửa sổ bật lên của trang web thường vẫn trong cùng một quy trình với trang đã tạo ra chúng.
Điều này sẽ cho phép một cuộc tấn công Spectrum thành công để đọc dữ liệu (ví dụ: cookie, mật khẩu, v.v.) thuộc các khung hoặc cửa sổ bật lên khác trong quy trình của bạn.
Cô lập trang web(Cách ly trang web) là một tính năng bảo mật của Chrome Nó cung cấp một tuyến phòng thủ bổ sung để các cuộc tấn công này ít có khả năng thành công hơn.
Nó đảm bảo rằng các trang của các trang web khác nhau luôn được đặt trong các quy trình khác nhau, mỗi trong số đó chạy trong một hộp cát giới hạn những gì quá trình có thể thực hiện.
Nó cũng ngăn quá trình nhận một số loại dữ liệu nhạy cảm từ các trang web khác.
Do đó, với sự cô lập của trang web, sẽ khó hơn rất nhiều đối với một trang web độc hại khi sử dụng các cuộc tấn công kênh đầu cơ như Spectre để lấy cắp dữ liệu từ các trang web khác.
Khi bật chế độ cô lập trang web, Mỗi quá trình kết xuất chứa không nhiều tài liệu từ một trang web.
Điều này có nghĩa là tất cả các điều hướng tài liệu giữa các trang web gây ra sự thay đổi tab trong các quy trình. Điều đó cũng có nghĩa là tất cả các iframe trên nhiều trang web được đặt trong một quy trình khác với khung chính của chúng, sử dụng iframe ngoài quy trình.
Firefox sẽ chính thức bị cô lập lần lượt.
Sau một năm chuẩn bị bí mật, Mozilla đã công bố ý định triển khai tính năng cô lập trang web.
Tính năng cô lập trang web của Chrome được thiết kế như một cơ chế bảo mật cho trình duyệt Chrome nhiều năm trước khi phát hành, nhưng việc triển khai nó trùng hợp với việc tiết lộ công khai về lỗi bộ xử lý Meltdown và Spectre, sự cô lập trang web được giảm thiểu hoàn toàn.
Mozilla, cũng cung cấp các bản vá Meltdown và Spectre để giảm độ chính xác của các hàm JavaScript khác nhau trong Firefox, nhận thấy cách tiếp cận của Google đối với các lỗi bộ xử lý là vượt trội hơn bởi vì nó cũng cho phép tránh các vụ khai thác tương tự trong tương lai và nhiều vấn đề bảo mật khác.
Nika Layzell, một nhà phát triển tại Mozilla, cho biết nền tảng này đã bắt đầu hoạt động trên một cơ chế cách ly trang web tương tự. năm ngoái như một phần của dự án với tên mã nội bộ là Project Fission.
Trong năm qua, chúng tôi đã làm việc để phát triển cơ sở Fission bằng cách thiết kế cơ sở hạ tầng mới. Trong những tuần và tháng tới, chúng tôi sẽ cần sự trợ giúp của tất cả các nhóm Firefox để điều chỉnh mã của chúng tôi cho phù hợp với kiến trúc trình duyệt hậu Fission.
Kiến trúc trình duyệt sau Phân hạch mà Layzell đề cập đến tương tự như hoạt động hiện tại của Chrome. Các nhà phát triển Mozilla cũng có kế hoạch tách biệt từng trang web mà người dùng truy cập trong một quy trình riêng biệt.
Hiện nay, Firefox đi kèm với một quy trình cho giao diện người dùng của trình duyệt và một số quy trình (hai đến mười) cho mã Firefox để hiển thị các trang web.
Với Project Fission, các quy trình sau này sẽ được sửa đổi và một quy trình riêng biệt sẽ được tạo cho mỗi trang web mà người dùng truy cập.
Từ ngữ thật kỳ lạ