Google Chrome ‘ s Hjemmeside Isolation sikkerhed funktion er nu også tilgængelig i et begrænset omfang på Android-enheder.
Hvis Chrome for Android-brugere, der besøger et websted, hvor de kan indtaste adgangskoder, Chrome vil isolere de pågældende website fra alle de andre faner i en separat Android proces, holde brugerens data sikkert fra Spectre-lignende angreb, Google sagde i dag.
Desuden Site Isolation, som har været tilgængelig for desktop-brugere siden juli 2018, er også blevet udvidet til Windows, Mac, Linux og Chrome OS-brugere, som får nu beskyttelse mod flere angreb end den oprindelige Nedsmeltning og Spectre sårbarheder.
Hvad er et Site, Isolation?
Ejendommen Isolation er en Chrome-funktion er, at Google begyndte at udvikle en måde at isolere de enkelte website fra en anden, så ondsindet kode, der kører på en hjemmeside/tab ikke kunne stjæle data fra andre hjemmesider/faner.
Ejendommen Isolation blev udviklet til at fungere som et ekstra lag af beskyttelse på toppen af Same Origin Policy (SOP), en browser funktion, der forhindrer hjemmesider i at få adgang til hinandens data. Google har udviklet Site Isolation, fordi browser bugs ofte tilladte websteder til at hoppe SOP barriere og stjæle brugerens data, der er gemt i browseren, der er oprettet af andre sites.
Chrome ingeniører begyndte at arbejde på Ejendommen Isolation i 2017 og rulles ud funktion til alle desktop-brugere med frigivelsen af Chrome 67 i Maj 2018, nå 99% dækning i juli 2018.
På det tidspunkt, Google kaldet Site Isolation er en triumf på trods af Ejendommen Isolation ikke arbejder på sit fulde potentiale.
Funktionen ‘s udrulning kom lige i tide til at yde beskyttelse mod side-channel attacks som Nedsmeltning og Spectre — to sårbarheder, der påvirkede Cpu’ er, offentliggjort i begyndelsen af 2018, og som kunne gøre det muligt for angribere at hoppe barrieren mellem apps og stjæle data fra Chrome.
Mens Websted Isolation var aldrig beregnet til at holde CPU-fejl, det gjorde stop disse typer af spørgsmål, og derfor er grunden til at Google har valgt at rulle det ud, selv om det ikke var præcis, hvordan det oprindeligt forestillede Site Isolation for at arbejde.
Men bag kulisserne, arbejde på Ejendommen fortsat Isolation efter juli 2018, med Google ingeniører byggeplads Isolation i den omfattende sikkerhed funktion, som de oprindeligt ønskede at skabe. I dag har Google annonceret to store developements, sammen med den fremtidige Site Isolation planer.
Ejendommen Isolation til at rulle ud for nogle Android-brugere
Den første af disse er, at Ejendommen Isolation er nu tilgængelig for Android-brugere.
Google sagde, at i dag er det aktiveret Websted Isolation for 99% af Chrome til Android userbase, der har en smartphone med 2GB RAM eller mere.
På disse enheder, når brugerne besøger en side, hvor de kan indtaste adgangskoder, vil Chrome spin, at ejendommen i sin egen proces, for at beskytte stedet og brugerens data fra Spectre-skadelig kode, der kører på andre sites.
Ejendommen Isolation blev tilføjet i Chrome til Android v77, udgivet i sidste måned i September. Brugere, der har opdateret til denne version, og har en telefon med mere end 2 gb RAM allerede har aktiveret funktionen.
Når den er aktiveret, Google sagde, at det forventer, at Webstedet Isolation har til at pådrage sig en 3-5% stigning i brug af hukommelse.
Chrome til Android-brugere, der ikke ejer en enhed med tilstrækkelig hukommelse, eller brugere, der ønsker at bruge Webstedet Isolation på alle sites (og ikke kun dem, hvor de kan indtaste adgangskoder), kan du gå til chrome://flags/#aktiver-site-per-processen, så Site Isolation på alle tidspunkter. Men, Google sagde, at dette ville også medføre endnu højere RAM overhead, som brugerne bør være opmærksomme på.
Beskyttelse mod flere angreb på skrivebordet
Men samtidig Site Isolation er ved at tage sine første skridt på smartphones, funktionen er voksende på desktops.
Ifølge Google, der starter med Chrome 77 udgivet i sidste måned, Site Isolation på desktops kan beskytte brugerne mod udnytte mere typer end den oprindelige støtte til side-kanal (Spectre-lignende) angreb.
“Vores første lancering målrettet Spectre-lignende angreb, der kan lække data fra en given gengivelsesproces,” Googles ingeniører har sagt i dag. “Site Isolation kan nu håndtere selv alvorlige angreb, hvor gengivelsesproces er fuldt kompromitteret via en sikkerhed bug, såsom hukommelse korruption bugs, eller Universal Cross-Site Scripting (UXSS) logik fejl.”
Hukommelse fejl og UXSS sårbarheder, der har været anvendt tidligere. Angribere som regel placeret skadelig kode på websteder, der udnyttede disse typer af sårbarheder. Når en bruger adgang til ondsindet websted, udnytte koden ville udløse, og udtrække data fra andre websteder, der havde været gemt inde i Chrome.
Nu, at Ejendommen Isolation blev udvidet til at opdage og stoppe disse angreb, Google siger, at dette vil ikke være muligt længere, da hvert websteds data (såsom cookies og adgangskoder), vil blive låst, og flyttede i en separat Chrome processen helt.
Hukommelse og UXSS bugs, der kan omgå SOP vil ikke blive nyttige længere. Hvis hackere vil stjæle browser data, de skal bruge exploits, der kan undslippe Chrome sandkasse og hoppe til et andet OS proces.
Desuden Site Isolation også forhindrer adgang til flere data typer, og ikke bare adgangskoder og cookies. Per Google, disse er brugeren datakategorier, at Ejendommen Isolation kan nu beskytte mod ondsindet kode:
Godkendelse: Cookies og gemte passwords kan kun tilgås ved processer, der er låst til den pågældende site. Netværk data: Site Isolation bruger Cross-Oprindelse Læse Blokering filter følsomme ressource-typer (fx, HTML, XML, JSON, PDF) fra en proces, også selv om denne proces forsøger at lyve for at Chrome ‘ s network stack om dens oprindelse. Ressourcer, der er mærket med et Kors-Oprindelse-Ressource-Politik overskriften, er også beskyttet. Lagrede data og tilladelser: Rendering processer kan kun få adgang til gemte data (fx, localStorage) og tilladelser (fx, mikrofon), der er baseret på den proces site lås. Cross-oprindelse beskeder: Chromes browser-processen kan kontrollere kilden oprindelse af postMessage og BroadcastChannel beskeder, der forhindrer gengivelsesproces fra at lyve om, hvem der har sendt beskeden.
Fremtidige planer
Men Site Isolation har stadig masser af plads til at udvide før selve “site isolation” er opnået, på alle niveauer af Chrome codebase. Det optimale scenarie vil være, når hver site kører i sin egen proces, og de kan kun adgang til deres egne data.
Det er endnu ikke muligt i Chrome på grund af Chrome nuværende arkitektur — men dette vil ændre sig i fremtiden.
Her er Google ‘ s fremtidige planer for Ejendommen Isolation:
At bringe disse beskyttelser til Chrome til Android. Dette kræver ekstra arbejde til at håndtere de tilfælde, hvor kun visse steder er isoleret. CSRF-beskyttelse forsvar. Sek-Hente-Site og Oprindelse anmodning overskrifter kan kontrolleres for at forhindre fare-gengivere i at skabe dem. Beskytter flere typer af data. Vi er ved at undersøge, hvordan man beskytter yderligere data typer som standard med Cross-Oprindelse Læse Blokering. Fjernelse af undtagelser. Vi arbejder på at fjerne de tilfælde, hvor denne beskyttelse kan endnu ikke anvendelse. For eksempel, et lille sæt af udvidelser har stadig bredere cross-site adgang fra indhold scripts, indtil de opdatere til den nye sikkerhedsmodel. Vi har allerede arbejdet med forlængelse forfattere til at bringe de berørte Chrome-bruger befolkning ned fra 14% til 2%, samt hærde andre forlængelse sikkerhedsspørgsmål. Også, Isolation, gælder ikke for Flash, som er i øjeblikket deaktiveret som standard og er på en underkendelse vej.
Sikkerhed
WAV-lydfiler er nu bruges til at skjule ondsindet kode
Opbygning af Kinas Comac C919 fly involveret en masse af hacking, siger rapporten
Phorpiex botnet gjort $115,000 i fem måneder, lige fra masse-spam e-mails sextortion
Apple ‘ s nye iPhone privatliv funktion kan du se, hvilke apps du styr (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan at password beskytte en zip-fil i Linux (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre