Google
Erottelemalla käsittelijät toimialueittain jokainen prosessi sisältää tietoja vain yhdeltä sivustolta, mikä vaikeuttaa sivustojen välisten tiedonkeruuhyökkäysten suorittamista. Chromen työpöytäversioissa
Ylimääräisten kustannusten vähentämiseksi sivuston eristystila on käytössä Androidissa vain, jos sivu on kirjautunut sisään salasanalla. Chrome muistaa tosiasian, että salasanaa käytettiin, ja ottaa suojauksen käyttöön kaikelle sivustolle pääsylle. Suojausta sovelletaan myös välittömästi valikoituihin ennalta määritettyihin sivustoihin, jotka ovat suosittuja mobiililaitteiden käyttäjien keskuudessa. Selektiivinen aktivointimenetelmä ja lisätyt optimoinnit mahdollistivat, että pystyimme pitämään käynnissä olevien prosessien määrän kasvusta johtuvan muistin kulutuksen kasvun keskimäärin 3-5 %:n tasolla 10-13 %:n sijaan, joka havaittiin aktivoitaessa eristystä kaikille sivustoille.
Uusi eristystila on käytössä 99 %:lla Chrome 77 -käyttäjistä Android-laitteissa, joissa on vähintään 2 Gt RAM-muistia (1 %:lla käyttäjistä tila pysyy poissa käytöstä suorituskyvyn seurantaa varten). Voit ottaa sivuston eristystilan käyttöön tai poistaa sen käytöstä manuaalisesti käyttämällä asetusta "chrome://flags/#enable-site-per-process".
Chromen työpöytäversiossa yllä mainittua sivuston eristystilaa on nyt vahvistettu vastustamaan hyökkäyksiä, joilla pyritään täysin vaarantamaan sisällönkäsittelyprosessi. Parannettu eristystila suojaa sivuston tietoja kahdelta muulta uhalta: tietovuodot kolmannen osapuolen hyökkäyksistä, kuten Spectrestä, ja vuodot käsittelijän prosessin täydellisen vaarantamisen jälkeen, kun hyödynnetään onnistuneesti haavoittuvuuksia, joiden avulla voit hallita prosessi, mutta ne eivät riitä ohittamaan hiekkalaatikon eristystä. Samanlainen suojaus lisätään myöhemmin Chrome for Androidille.
Menetelmän ydin on, että ohjausprosessi muistaa, mihin sivustoon työntekijäprosessilla on pääsy, ja estää pääsyn muihin sivustoihin, vaikka hyökkääjä saisi prosessin hallintaansa ja yrittäisi käyttää toisen sivuston resursseja. Rajoitukset kattavat todentamiseen liittyvät resurssit (tallennetut salasanat ja evästeet), suoraan verkon kautta ladatut tiedot (suodatettu ja linkitetty nykyiseen sivustoon HTML, XML, JSON, PDF ja muut tiedostotyypit), sisäisessä tallennustilassa olevat tiedot (localStorage), käyttöoikeudet ( sivusto, joka mahdollistaa pääsyn mikrofoniin jne.) sekä postMessage- ja BroadcastChannel-sovellusliittymien kautta lähetetyt viestit. Kaikki tällaiset resurssit liitetään tunnisteeseen lähdesivustoon, ja ne tarkistetaan hallintaprosessin puolella sen varmistamiseksi, että ne voidaan siirtää pyynnöstä työntekijäprosessilta.
Muita Chromeen liittyviä tapahtumia ovat:
Toinen mielenkiintoinen tulossa oleva muutos Chromessa
Lähde: opennet.ru