Google переходить на найновішу оборонну технологію Chrome

Компанія Google перейшла на захисну технологію в Chrome, що значно ускладнить атаки, подібні до Spectra, для крадіжки таких даних, як облікові дані входу.

Називається "Ізоляція сайту", нова технологія безпеки має десятирічну історію. Але зовсім недавно його називають щитом для захисту від загроз, що виникають через Spectre, а вразливість процесора розкрита власними інженерами Google більше року тому. Google оприлюднив сайт Isolation наприкінці 2017 року в Chrome 63, що робить його можливим для корпоративних ІТ-співробітників, які можуть налаштувати захист, щоб захистити працівників від загроз, що знаходяться на зовнішніх сайтах. Адміністратори компанії можуть використовувати об'єкти групової політики Windows - об'єкти групової політики, а також прапори командного рядка до ширшого розгортання через групові політики.

Пізніше, в Chrome 66, запущеному в квітні, Google відкрив польове тестування для загальних користувачів, які могли включити ізоляцію сайту за допомогою параметра flags chrome: // . Google зрозуміла, що ізоляція сайту в кінцевому підсумку буде встановлена ​​за замовчуванням у браузері, але фірма спочатку хотіла перевірити, які виправлення стосуються проблем, які виникли раніше. Користувачі змогли відмовитися від участі в дослідженні, змінивши одну з налаштувань на сторінці параметрів.

Тепер Google включив ізоляцію сайту для переважної більшості користувачів Chrome - 99% з них здійснюється обліковим записом пошукового гіганта. "З тих пір (Chrome 63) було вирішено багато відомих проблем, що робить його практично ввімкнено за умовчанням для всіх користувачів настільних Chrome", - написав Чарлі Рейс, інженер з програмного забезпечення Google. розмістити в блозі компанії .

Ізоляція сайту, пояснив Рейс, "Це велика зміна в архітектурі Chrome, яка обмежує кожен процес візуалізації документами з одного сайту". Якщо ввімкнути ізоляцію сайту, зловмисникам буде заборонено обмінюватися вмістом у процесі Chrome, призначеному для вмісту веб-сайту.

"Коли ввімкнено ізоляцію сайту, кожен процес рендеринга містить документи з, найбільше, одного сайту", - продовжив Reis. "Це означає, що всі навігації для документів між сайтами призводять до перемикання вкладок на вкладку. Це також означає, що всі межі міжмережевих фреймів розміщені в іншому процесі, ніж їх батьківський фрейм, використовуючи" непроцесорні фрейми ". Додано, що це є серйозною зміною в роботі Chrome і інженерів, які впроваджувалися протягом кількох років, задовго до того, як Spectre виявлено.

Кандидатська дисертація Reis майже десятиліття тому була на цю тему, і команда Chrome працює над нею шість років.

Компанія Google перейшла на захисну технологію в Chrome, що значно ускладнить атаки, подібні до Spectra, для крадіжки таких даних, як облікові дані входу

Google

За умовчанням у ізоляції сайту в 99% всіх екземплярів робочого столу Chrome диспетчер завдань веб-переглядача перевіряє, чи захист запущено. Зверніть увагу на різні номери процесів для вкладки, призначеної для потокової музики SiriusXM і підкадру нижче.

"Це надзвичайно значне досягнення" твітів Ерік Лоуренс , колишній старший інженер-програміст в Google, а тепер головний менеджер програми у конкурента Microsoft. "Google інвестував багато років інженерів у функцію, яка спочатку здавалася безнадійно невдалими від вартості / вигоди POV [точка зору]. А потім, раптом, це було не просто приємним для DiD [захист в глибині], але замість цього необхідна оборона проти класу атаки.

Інші також пролунали. "Поточна версія захищається лише від атак витоку даних (наприклад, Spectre), але йде робота по захисту від атак з боку компрометованих візуалізаторів" твітував Джастін Шух , головний інженер і директор з безпеки Chrome. "Ми також не поставляємо Android ще, оскільки ми все ще працюємо над питаннями споживання ресурсів".

Споживання ресурсів, можливо, не є "випуском" з Google із зони ізоляції сайту, але при використанні технології існують компроміси, зазначили в компанії. "Існує близько 10-13% загальної кількості пам'яті в реальних робочих навантаженнях внаслідок більшої кількості процесів", - сказав Рейс, а також додав, що інженери продовжують працювати над зменшенням кількості пам'яті.

Принаймні, навантаження на додаткову пам'ять менше, ніж раніше. Ще тоді, коли Chrome 63 дебютував із ізоляцією сайту, Google визнав, що його використання збільшить використання пам'яті до 20%.

Користувачі зможуть перевірити, чи включено ізоляцію сайту - що вони не є частиною 1%, що залишилося на холоді, як частина зусиль Google "контролювати та підвищувати продуктивність" - у Chrome 68, коли він запускається пізніше цього місяця набравши chrome: // process-internals в адресному рядку. (Це не працює в Chrome 67 або раніше.) Наразі перевірка вимагає додаткової роботи з боку користувача. У цьому документі зазначено в підзаголовку "Підтвердити". Computerworld використовував останню, щоб переконатися, що у своїх примірниках Chrome активовано ізоляцію сайту.

[Примітка: Ізоляція сайту увімкнена майже для всіх екземплярів Chrome, навіть якщо елемент "Сувора ізоляція сайту" на сторінці параметрів chrome: // flags читається "Вимкнено". Щоб вимкнути ізоляцію сайту, користувачі повинні замінити елемент "Виключення вилучення на сайт" на "Вимкнути (не рекомендується)."]

Ізоляція сайту повинна бути включена в Chrome 68 для Android, сказав Рейс. Додаткові функціональні можливості також будуть додані до робочого стола видання браузера. "Ми також працюємо над додатковими перевірками безпеки в процесі браузера, які дозволять сайту Isolation пом'якшити не тільки атаки Spectre, але й атаки від повністю скомпрометованих процесів рендеринга", - написав він. "Слідкуйте за оновленнями про ці дії."