Google
Genom att separera hanterarna efter domän, innehåller varje process data från endast en plats, vilket gör det svårt att utföra datainsamlingsattacker över platsen. På skrivbordsversioner av Chrome
För att minska omkostnader är läget för webbplatsisolering i Android endast aktiverat om sidan är inloggad med ett lösenord. Chrome kommer ihåg att lösenordet användes och aktiverar skydd för all ytterligare åtkomst till webbplatsen. Skydd tillämpas också omedelbart på en utvald lista med fördefinierade webbplatser som är populära bland användare av mobila enheter. Den selektiva aktiveringsmetoden och tillagda optimeringar gjorde det möjligt för oss att hålla ökningen av minnesförbrukningen på grund av en ökning av antalet pågående processer på en genomsnittlig nivå på 3-5%, istället för 10-13% som observerades vid aktivering av isolering för alla platser.
Det nya isoleringsläget är aktiverat för 99 % av Chrome 77-användarna på Android-enheter med minst 2 GB RAM (för 1 % av användarna förblir läget inaktiverat för prestandaövervakning). Du kan manuellt aktivera eller inaktivera platsisoleringsläge med inställningen "chrome://flags/#enable-site-per-process".
I skrivbordsutgåvan av Chrome är det ovan nämnda läget för webbplatsisolering nu förstärkt för att motverka attacker som syftar till att fullständigt äventyra innehållshanteringsprocessen. Förbättrat isoleringsläge kommer att skydda platsdata från ytterligare två typer av hot: dataläckor som ett resultat av tredjepartsattacker, såsom Spectre, och läckor efter fullständig kompromittering av hanterarprocessen när man framgångsrikt utnyttjar sårbarheter som gör att du kan få kontroll över process, men är inte tillräckliga för att kringgå sandlådeisolering. Liknande skydd kommer att läggas till i Chrome för Android vid ett senare tillfälle.
Kärnan i metoden är att kontrollprocessen kommer ihåg vilken plats arbetsprocessen har tillgång till och förbjuder åtkomst till andra webbplatser, även om angriparen får kontroll över processen och försöker komma åt resurserna på en annan plats. Restriktioner omfattar resurser relaterade till autentisering (sparade lösenord och cookies), data som laddas ner direkt över nätverket (filtrerad och länkad till den aktuella webbplatsen HTML, XML, JSON, PDF och andra filtyper), data i intern lagring (localStorage), behörigheter ( utfärdad webbplats som ger åtkomst till mikrofonen etc.) och meddelanden som överförs via postMessage och BroadcastChannel API:erna. Alla sådana resurser är associerade med en tagg till källplatsen och kontrolleras på sidan av hanteringsprocessen för att säkerställa att de kan överföras på begäran från arbetsprocessen.
Andra Chrome-relaterade händelser inkluderar:
En annan intressant kommande förändring i Chrome
Källa: opennet.ru