Кампанія Google
Пры падзеле апрацоўшчыкаў у прывязцы да дамена, у кожным працэсе знаходзяцца дадзеныя толькі аднаго сайта, што абцяжарвае здзяйсненне нападаў, накіраваных на міжсайтавы захоп дадзеных. У настольных версіях Chrome
Для зніжэння накладных выдаткаў рэжым ізаляцыі сайтаў у Android уключаецца толькі калі на старонцы зафіксаваны ўваход пры дапамозе пароля. Chrome запамінае факт выкарыстання пароля і ўключае абарону і для ўсіх далейшых зваротаў да сайта. Абарона таксама прымяняецца адразу для абранага спісу наканаваных сайтаў, папулярных сярод карыстальнікаў мабільных прылад. Выбарачны метад актывацыі і дададзеныя аптымізацыі дазволілі ўтрымаць рост спажывання памяці з-за павелічэння колькасці працуючых працэсаў у сярэднім на ўзроўні 3-5%, замест 10-13%, якія назіраюцца пры актывацыі ізаляцыі для ўсіх сайтаў.
Новы рэжым ізаляцыі актываваны для 99% карыстачоў Chrome 77 на Android-прыладах, забяспечаных як мінімум 2 Гб АЗП (для 1% карыстачоў рэжым застаўся адключаным для маніторынгу за прадукцыйнасцю). Уключыць ці адключыць рэжым ізаляцыі сайтаў уручную можна праз настройку "chrome://flags/#enable-site-per-process".
У настольнай рэдакцыі Chrome вышэйадзначаны рэжым ізаляцыі сайтаў зараз узмоцнены для супрацьстаяння нападам, накіраваным на поўную кампраметацыю працэсу з апрацоўшчыкам кантэнту. Палепшаны рэжым ізаляцыі дазволіць абараніць дадзеныя сайтаў ад двух дадатковых выглядаў пагроз: уцечак дадзеных у выніку нападаў па іншых каналах, такіх як Spectre, і ўцечак пасля поўнай кампраметацыі працэсу-апрацоўшчыка пры паспяховай эксплуатацыі ўразлівасцяў, якія дазваляюць атрымаць кантроль над працэсам, але не дастатковых для абыходу. sandbox-ізаляцыі. У Chrome для Android падобная абарона будзе дададзена пазней.
Сутнасць метаду ў тым, што кіруючы працэс запамінае да якога сайта працоўны працэс мае доступ і забараняе зварот да іншых сайтаў, нават калі атакавалы атрымае кантроль над працэсам і паспрабуе атрымаць доступ да рэсурсаў іншага сайта. Абмежаванні ахопліваюць рэсурсы, злучаныя з аўтэнтыфікацыяй (захаваныя паролі і Cookie), загружанымі напроста па сетцы дадзенымі (фільтруюцца і прывязваюцца ў бягучым сайце HTML, XML, JSON, PDF і іншыя тыпы файлаў), дадзенымі ва ўнутраных сховішчах (localStorage), паўнамоцтвамі ( (сайту дазволу доступу да мікрафона і да т.п.) і паведамленнямі, якія перадаюцца праз API postMessage і BroadcastChannel. Усе падобныя рэсурсы злучаюцца пазнакай з зыходным сайтам і правяраюцца на боку кіраўніка працэсу на прадмет магчымасці перадачы па запыце з працоўнага працэсу.
З злучаных з Chrome падзей таксама можна адзначыць
Іншым цікавым маючым адбыцца зменай у Chrome
Крыніца: opennet.ru