Google
Atdalot apstrādātājus pēc domēna, katrs process satur datus tikai no vienas vietnes, kas apgrūtina starpvietņu datu uztveršanas uzbrukumu veikšanu. Chrome datora versijās
Lai samazinātu izmaksas, vietnes izolācijas režīms operētājsistēmā Android ir iespējots tikai tad, ja lapa ir pieteikusies, izmantojot paroli. Chrome atceras faktu, ka parole tika izmantota, un ieslēdz aizsardzību turpmākai piekļuvei vietnei. Aizsardzība tiek nekavējoties piemērota arī noteiktam iepriekš noteiktu vietņu sarakstam, kas ir populārs mobilo ierīču lietotāju vidū. Selektīvā aktivizēšanas metode un pievienotās optimizācijas ļāva saglabāt atmiņas patēriņa pieaugumu, ko izraisīja strādājošo procesu skaita pieaugums vidēji par 3–5%, nevis 10–13%, kas tika novērots, aktivizējot izolāciju visām vietnēm.
Jaunais izolācijas režīms ir iespējots 99% Chrome 77 lietotāju Android ierīcēs ar vismaz 2 GB RAM (1% lietotāju režīms joprojām ir atspējots veiktspējas uzraudzībai). Varat manuāli iespējot vai atspējot vietnes izolācijas režīmu, izmantojot iestatījumu “chrome://flags/#enable-site-per-process”.
Chrome darbvirsmas izdevumā iepriekš minētais vietņu izolācijas režīms tagad ir pastiprināts, lai cīnītos pret uzbrukumiem, kuru mērķis ir pilnībā apdraudēt satura apstrādātāja procesu. Uzlabots izolācijas režīms aizsargās vietnes datus no divu veidu papildu apdraudējumiem: datu noplūdes trešo pušu uzbrukumu rezultātā, piemēram, Spectre, un noplūdēm pēc pilnīgas apdarinātāja procesa kompromitēšanas, veiksmīgi izmantojot ievainojamības, kas ļauj iegūt kontroli pār process, bet ar tiem nepietiek, lai apietu smilškastes izolāciju. Līdzīga aizsardzība vēlāk tiks pievienota pārlūkam Chrome Android ierīcēm.
Metodes būtība ir tāda, ka kontroles process atceras, kurai vietnei ir piekļuve darbinieka procesam, un aizliedz piekļuvi citām vietnēm, pat ja uzbrucējs iegūst kontroli pār procesu un mēģina piekļūt citas vietnes resursiem. Ierobežojumi attiecas uz resursiem, kas saistīti ar autentifikāciju (saglabātas paroles un sīkfailus), datiem, kas lejupielādēti tieši tīklā (filtrēti un saistīti ar pašreizējo vietni HTML, XML, JSON, PDF un citiem failu tipiem), datiem iekšējā atmiņā (localStorage), atļaujām ( izdota vietne, kas ļauj piekļūt mikrofonam utt.) un ziņojumi, kas tiek pārraidīti, izmantojot postMessage un BroadcastChannel API. Visi šādi resursi ir saistīti ar tagu uz avota vietni un tiek pārbaudīti pārvaldības procesa pusē, lai nodrošinātu, ka tos var pārsūtīt pēc pieprasījuma no darbinieka procesa.
Citi ar Chrome saistīti notikumi:
Vēl viena interesanta gaidāmā Chrome izmaiņa
Avots: opennet.ru