Google despre modul de consolidare în Chrome , care asigură că paginile de pe site-uri diferite sunt procesate în procese izolate separate. Modul de izolare la nivelul site-ului vă permite să protejați utilizatorul de atacurile care pot fi efectuate prin blocuri terțe utilizate pe site, cum ar fi inserții de iframe, sau să blocați scurgerea datelor prin încorporarea de blocuri legitime (de exemplu, cu cererile către serviciile bancare, care pot conține utilizatorul este autentificat) pe site-uri rău intenționate.
Prin separarea gestionarilor pe domenii, fiecare proces conține date de la un singur site, ceea ce face dificilă efectuarea atacurilor de captare a datelor pe mai multe site-uri. Pe versiunile desktop ale Chrome handlere legate de un domeniu mai degrabă decât de o filă, implementate începând de la . ÎN un mod similar a fost activat pentru platforma Android.
Pentru a reduce cheltuielile generale, modul de izolare a site-ului în Android este activat numai dacă pagina este conectată folosind o parolă. Chrome își amintește faptul că parola a fost folosită și activează protecția pentru toate accesele ulterioare la site. Protecția este, de asemenea, aplicată imediat unei liste selectate de site-uri predefinite populare printre utilizatorii de dispozitive mobile. Metoda de activare selectivă și optimizările adăugate ne-au permis să menținem creșterea consumului de memorie datorită creșterii numărului de procese care rulează la un nivel mediu de 3-5%, în loc de 10-13% observat la activarea izolării pentru toate site-urile.
Noul mod de izolare este activat pentru 99% dintre utilizatorii Chrome 77 de pe dispozitive Android cu cel puțin 2 GB de RAM (pentru 1% dintre utilizatori, modul rămâne dezactivat pentru monitorizarea performanței). Puteți activa sau dezactiva manual modul de izolare a site-ului utilizând setarea „chrome://flags/#enable-site-per-process”.
În ediția pentru desktop a Chrome, modul de izolare a site-ului menționat mai sus este acum consolidat pentru a contracara atacurile care vizează compromiterea completă a procesului de gestionare a conținutului. Modul de izolare îmbunătățit va proteja datele site-ului de două tipuri suplimentare de amenințări: scurgeri de date ca urmare a atacurilor terțelor părți, cum ar fi Spectre, și scurgeri după compromiterea completă a procesului de gestionare, atunci când exploatarea cu succes a vulnerabilităților care vă permit să obțineți controlul asupra proces, dar nu sunt suficiente pentru a ocoli izolarea sandbox. O protecție similară va fi adăugată la Chrome pentru Android la o dată ulterioară.
Esența metodei este că procesul de control își amintește la ce site are acces procesul lucrător și interzice accesul la alte site-uri, chiar dacă atacatorul obține controlul asupra procesului și încearcă să acceseze resursele unui alt site. Restricțiile acoperă resursele legate de autentificare (parole salvate și cookie-uri), datele descărcate direct prin rețea (filtrate și legate la site-ul curent HTML, XML, JSON, PDF și alte tipuri de fișiere), datele din stocarea internă (localStorage), permisiunile ( site-ul emis care permite accesul la microfon etc.) și mesajele transmise prin API-urile postMessage și BroadcastChannel. Toate aceste resurse sunt asociate cu o etichetă la site-ul sursă și sunt verificate în partea procesului de gestionare pentru a se asigura că pot fi transferate la cererea procesului de lucru.
Alte evenimente legate de Chrome includ: aprobări pentru a activa compatibilitatea cu funcțiile în Chrome , care face posibilă formarea de legături către cuvinte sau expresii individuale fără a specifica în mod explicit etichete în document folosind eticheta „un nume” sau proprietatea „id”. Sintaxa unor astfel de legături este planificată să fie aprobată ca standard web, care este încă în stadiu . Masca de tranziție (în esență o căutare prin defilare) este separată de ancora obișnuită prin atributul „:~:”. De exemplu, când deschideți linkul „https://opennet.ru/51702/#:~:text=Chrome”, pagina se va muta în poziția cu prima mențiune a cuvântului „Chrome” și acest cuvânt va fi evidențiat . Funcție adăugată la fir , dar pentru a-l activa este nevoie de rularea cu indicatorul „--enable-blink-features=TextFragmentIdentifiers”.
O altă schimbare interesantă viitoare în Chrome capacitatea de a îngheța file inactive, permițându-vă să descărcați automat din memorie file care au stat în fundal mai mult de 5 minute și nu efectuează acțiuni semnificative. Decizia privind adecvarea unei anumite file pentru înghețare se ia pe baza euristicii. Modificarea a fost adăugată la filiala Canary, pe baza căreia se va forma versiunea Chrome 79 și este activată prin marcajul „chrome://flags/#proactive-tab-freeze”.
Sursa: opennet.ru