Google已宣布加强“网站隔离”功能 在Chrome中 允许在单独的隔离过程中处理来自不同站点的页面。 站点级隔离模式 允许保护用户免受攻击 可以通过网站上使用的第三方阻止程序(例如iframe插入)来执行此操作,也可以通过在恶意网站上嵌入合法阻止程序来阻止数据泄漏。
控制器分开时 关于领域,每个过程中只能找到一个站点数据, 这使得难以进行旨在捕获站点之间数据的攻击。 在Chrome的桌面版本中,自Chrome 67开始,已实现将控制器分为指向域而不是选项卡的链接。 在Chrome 77中,为Android平台激活了类似的模式。
为了减少过载, 仅当使用密码锁定页面时,才会启用Android上的网站隔离模式。
Chrome会记住使用密码,并为以后所有对该网站的访问提供保护。 保护也立即应用于移动设备用户流行的预定义站点的选定列表。
选择性激活方法和其他优化功能可将内存消耗的增长保持在3-5%的平均水平,这是因为正在运行的进程的数量平均增加了10-13%,而不是为所有站点激活隔离时观察到的XNUMX-XNUMX%。
Chrome中的网站隔离功能可提高安全性
在桌面版Chrome上, 上面提到的站点隔离模式现在得到了增强 对抗旨在完全破坏内容过程的攻击。
改进的隔离模式 将保护站点数据免受另外两种类型的威胁: f数据泄漏 由于通过第三方渠道(例如Spectre和 经过全过程承诺后泄漏 通过成功利用漏洞可以使您获得对该流程的控制权,但不足以绕过沙盒隔离。 在Android版Chrome浏览器中,此保护功能将在以后添加。
该方法的本质是,控制进程会记住工作流可以访问哪个站点,并禁止访问其他站点,即使攻击者获得了对该过程的控制权并试图获得对另一个站点资源的访问。
限制涵盖与身份验证相关的资源 (存储的密码和cookie),通过网络直接下载的数据(过滤并链接到当前站点的HTML,XML,JSON,PDF和其他类型的文件),内部存储中的数据(localStorage),权限(由麦克风站点发出)访问权限等)以及通过postMessage和BroadcastChannel API传输的消息。
所有这些资源都通过标签链接到原始站点,并在控制的过程侧进行检查,以根据工作流的请求进行转移。
在Chrome相关事件中, 我们也可以观察 声明的开始 Chrome将支持滚动到文本支持,允许链接单个单词或短语,而无需使用“名称”标签或“ id”属性显式标记文档。 这些链接的语法计划被批准为Web标准,该标准仍处于起草阶段。
Chrome即将推出的另一个有趣的变化是,它可以冻结不活动的标签, 允许您从后台的内存标签中自动下载超过5分钟,并且无需执行任何重大操作。
如何在Chrome中激活网站隔离?
隔离的新模式 可激活99%的Chrome 77用户以及Android设备上的用户 配备至少2 GB的RAM(对于1%的用户,此模式将保持禁用状态以监视性能)。
对于有兴趣启用此功能的人, 您可以启用甚至禁用此功能 通过设置手动 “ Chrome://标志/#enable-site-per-process”。