Google over de versterkingsmodus in Chrome , wat ervoor zorgt dat pagina's van verschillende sites in afzonderlijke geïsoleerde processen worden verwerkt. Met de isolatiemodus op siteniveau kunt u de gebruiker beschermen tegen aanvallen die kunnen worden uitgevoerd via blokken van derden die op de site worden gebruikt, zoals iframe-inserts, of om gegevenslekken te blokkeren door het inbedden van legitieme blokken (bijvoorbeeld met verzoeken aan bankdiensten, waarbij de gebruiker mogelijk is geverifieerd) op kwaadaardige sites.
Door de handlers per domein te scheiden, bevat elk proces gegevens van slechts één site, wat het moeilijk maakt om cross-site data capture-aanvallen uit te voeren. Op desktopversies van Chrome handlers gebonden aan een domein in plaats van aan een tabblad, geïmplementeerd vanaf . IN een vergelijkbare modus is geactiveerd voor het Android-platform.
Om overhead te verminderen, is de site-isolatiemodus in Android alleen ingeschakeld als op de pagina is ingelogd met een wachtwoord. Chrome onthoudt het feit dat het wachtwoord is gebruikt en schakelt de beveiliging in voor alle verdere toegang tot de site. Bescherming wordt ook onmiddellijk toegepast op een selecte lijst van vooraf gedefinieerde sites die populair zijn onder gebruikers van mobiele apparaten. Dankzij de selectieve activeringsmethode en de toegevoegde optimalisaties konden we de toename van het geheugengebruik als gevolg van een toename van het aantal actieve processen op een gemiddeld niveau van 3-5% houden, in plaats van de 10-13% die werd waargenomen bij het activeren van isolatie voor alle sites.
De nieuwe isolatiemodus is ingeschakeld voor 99% van de Chrome 77-gebruikers op Android-apparaten met minimaal 2 GB RAM (voor 1% van de gebruikers blijft de modus uitgeschakeld voor prestatiemonitoring). U kunt de site-isolatiemodus handmatig in- of uitschakelen met behulp van de instelling ‘chrome://flags/#enable-site-per-process’.
In de desktopversie van Chrome is de bovengenoemde site-isolatiemodus nu versterkt om aanvallen tegen te gaan die erop gericht zijn het contenthandlerproces volledig in gevaar te brengen. De verbeterde isolatiemodus beschermt sitegegevens tegen twee extra soorten bedreigingen: gegevenslekken als gevolg van aanvallen van derden, zoals Spectre, en lekken na volledige compromittering van het afhandelingsproces bij het succesvol exploiteren van kwetsbaarheden waarmee u controle kunt krijgen over de proces, maar zijn niet voldoende om sandbox-isolatie te omzeilen. Soortgelijke bescherming zal op een later tijdstip aan Chrome voor Android worden toegevoegd.
De essentie van de methode is dat het controleproces onthoudt tot welke site het werkproces toegang heeft en de toegang tot andere sites verbiedt, zelfs als de aanvaller controle over het proces verkrijgt en toegang probeert te krijgen tot de bronnen van een andere site. Beperkingen hebben betrekking op bronnen met betrekking tot authenticatie (opgeslagen wachtwoorden en cookies), gegevens die rechtstreeks via het netwerk worden gedownload (gefilterd en gekoppeld aan de huidige site HTML, XML, JSON, PDF en andere bestandstypen), gegevens in interne opslag (localStorage), machtigingen ( uitgegeven site die toegang geeft tot de microfoon, enz.) en berichten verzonden via de postMessage- en BroadcastChannel-API's. Al dergelijke bronnen zijn gekoppeld aan een tag voor de bronsite en worden gecontroleerd aan de kant van het beheerproces om ervoor te zorgen dat ze op verzoek vanuit het werkproces kunnen worden overgedragen.
Andere Chrome-gerelateerde gebeurtenissen zijn onder meer: goedkeuringen om functieondersteuning in Chrome in te schakelen , wat het mogelijk maakt om koppelingen naar individuele woorden of zinsdelen te vormen zonder expliciet labels in het document op te geven met behulp van de tag “a name” of de eigenschap “id”. Het is de bedoeling dat de syntaxis van dergelijke links wordt goedgekeurd als webstandaard, wat zich nog in de fase bevindt . Het overgangsmasker (in wezen een scrollende zoekopdracht) wordt gescheiden van het reguliere anker door het attribuut “:~:”. Wanneer u bijvoorbeeld de link “https://opennet.ru/51702/#:~:text=Chrome” opent, gaat de pagina naar de positie met de eerste vermelding van het woord “Chrome” en wordt dit woord gemarkeerd . Functie toegevoegd aan draad , maar om het in te schakelen moet je de vlag “--enable-blink-features=TextFragmentIdentifiers” gebruiken.
Nog een interessante aanstaande verandering in Chrome de mogelijkheid om inactieve tabbladen te bevriezen, zodat u automatisch geheugentabbladen kunt verwijderen die langer dan 5 minuten op de achtergrond staan en geen significante acties uitvoeren. De beslissing over de geschiktheid van een bepaald tabblad voor bevriezing wordt genomen op basis van heuristieken. De wijziging is toegevoegd aan de Canarische tak, op basis waarvan de Chrome 79-release zal worden gevormd, en wordt mogelijk gemaakt via de vlag “chrome://flags/#proactive-tab-freeze”.
Bron: opennet.ru