Google Chrome Isolamento del Sito di sicurezza di funzionalità è ora disponibile anche in modo limitato anche su dispositivi Android.
Se Chrome per Android gli utenti visitano un sito dove inserire la password, Chrome isolare il sito da tutte le altre schede in un separato processo Android, talmente semplice mantenere aggiornati i dati dell’utente al sicuro da Spettro, come attacchi, Google ha detto oggi.
Inoltre, l’Isolamento del Sito, che è disponibile per gli utenti desktop, dal mese di luglio 2018, è stato ampliato per Windows, Mac, Linux, e gli utenti di Chrome OS, che ora ricevono protezione contro ulteriori attacchi rispetto all’originale Fusione e di Spettro di vulnerabilità.
Che cosa è l’Isolamento del Sito?
Isolamento del sito è un Cromo funzionalità di sicurezza che Google ha cominciato a svilupparsi come un modo per isolare ogni sito web da un altro, in modo che il codice dannoso in esecuzione su un sito/scheda riuscivo a rubare i dati da altri siti web e/o schede.
Isolamento del sito è stato sviluppato per agire come un secondo strato di protezione sulla parte superiore della Stessa Provenienza Politica (SOP), una funzione del browser che impedisce siti web da accessi di altri dati. Google ha sviluppato Isolamento del Sito a causa del browser bug spesso siti con permesso di saltare la SOP barriera e rubare i dati dell’utente memorizzati nel browser, creati da altri siti.
Chrome ingegneri iniziato a lavorare sul Sito di Isolamento nel 2017 e implementato la funzione per tutti gli utenti del desktop con il rilascio di Chrome 67 nel Maggio 2018, raggiungendo il 99% di copertura entro il mese di luglio 2018.
Al momento, Google chiamato Isolamento del Sito un trionfo, nonostante l’Isolamento del Sito non funziona al pieno delle sue potenzialità.
La funzione del rollout è arrivata giusto in tempo per fornire protezione contro attacchi side-channel come Meltdown e Spettro, due vulnerabilità che hanno avuto un impatto Cpu, comunicati, nei primi 2018, e che potrebbe consentire agli aggressori di saltare la barriera tra le app e rubare dati da google Chrome.
Mentre l’Isolamento del Sito non è mai stato progettato per interrompere CPU bug, ha fatto fermare questi tipi di problemi; da qui il motivo per cui Google ha optato per il roll-out, anche se non era esattamente come originariamente previsto Isolamento del Sito di lavoro.
Ma dietro le quinte, il lavoro sull’Isolamento del Sito è continuato anche dopo il luglio 2018, con i tecnici di Google edificio Isolamento del Sito in completa funzionalità di protezione in origine hanno voluto creare. Oggi, Google ha annunciato due importanti sviluppi, insieme con il futuro Sito di Isolamento piani.
Isolamento del sito per il roll-out per alcuni utenti Android
Il primo di questi è che l’Isolamento del Sito è ora disponibile per alcuni utenti Android.
Google ha detto oggi abilitato Isolamento del Sito per il 99% di Chrome per Android userbase che ha uno smartphone con 2 GB o più di RAM.
Su questi dispositivi, quando gli utenti visitano un sito dove inserire la password, Chrome spin sito in un proprio processo, per proteggere il sito e i dati dell’utente da Spettro, come il codice dannoso in esecuzione su altri siti.
Isolamento del sito è stata aggiunta in Chrome per Android v77, uscito lo scorso mese di settembre. Gli utenti che hanno aggiornato a questa versione, un telefono con più di 2GB di RAM la funzione è già attivata.
Quando è abilitata, Google ha detto di aspettarsi che il Sito di funzionalità di Isolamento a sostenere un 3-5% di aumento di utilizzo della memoria.
Chrome per Android gli utenti che non possiedono un dispositivo con memoria sufficiente, o gli utenti che desiderano utilizzare Isolamento del Sito su tutti i siti (non solo quelli dove inserire la password), possono visitare il chrome://flags/#enable-sito-per-processo di attivazione dell’Isolamento del Sito in ogni momento. Tuttavia, Google ha detto che questo sarebbe anche incorrere anche una RAM superiore sovraccarico, di cui gli utenti devono essere consapevoli.
Protezione contro ulteriori attacchi sul desktop
Ma mentre l’Isolamento del Sito compie i suoi primi passi su smartphone, la funzione è in espansione sul desktop.
Secondo Google, a partire con Chrome 77 rilasciato il mese scorso, Isolamento del Sito sul desktop in grado di proteggere gli utenti contro la più tipi di exploit che il supporto originale per canale laterale (Spettro, come attacchi.
“Il nostro primo lancio mirato Spettro, come gli attacchi che potrebbero perdere tutti i dati da un dato renderer processo di” tecnici di Google ha detto oggi. “Isolamento del sito è in grado di gestire anche gravi attacchi dove il renderer processo è completamente compromessa per via di un bug di sicurezza, come la corruzione della memoria bug o Universale Cross-Site Scripting (UXSS) errori di logica.”
Memoria bug e UXSS vulnerabilità sono state utilizzate in passato. Gli aggressori di solito inserito il codice malevolo su siti che hanno sfruttato questi tipi di vulnerabilità. Quando un utente accede al sito maligno, il codice di exploit provocherebbe, e di estrarre i dati da altri siti che erano stati memorizzati all’interno di Chrome.
Ora che l’Isolamento del Sito è stato ampliato per rilevare e fermare questi attacchi, Google dice che questo non sarà più possibile, in quanto ogni sito di dati (come ad esempio i cookie e le password) verranno bloccati, e si trasferì in un separato Chrome processo del tutto.
Memoria e UXSS bug che potrebbe eludere SOP non essere più utile. Se gli hacker vogliono rubare i dati di navigazione, avranno bisogno di exploit che può sfuggire la sandbox di Chrome e passare ad un altro OS processo.
Inoltre, l’Isolamento del Sito, inoltre, impedisce l’accesso a più tipi di dati, e non solo password e cookie. Per Google, questi sono i dati utente categorie di Isolamento del Sito ora possibile proteggere il codice dannoso:
Autenticazione: i Cookie e le password memorizzate possono essere raggiunte solo da processi bloccati al sito corrispondente. Rete dati: Isolamento del Sito utilizza il Cross-Origin Leggere il Blocco di filtro sensibili tipi di risorse (ad esempio, HTML, XML, JSON, PDF) di un processo, anche se che tenta di processo di mentire a Chrome stack di rete circa la sua origine. Risorse etichettato con un Cross-Origin-Risorsa-Criteri di intestazione sono anche protetti. I dati memorizzati e autorizzazioni: Renderer processi possono accedere solo i dati memorizzati (ad esempio, localStorage) o di autorizzazioni (ad esempio, il microfono), basato sul processo di blocco del sito. Cross-origin messaggi: Chrome il browser di processo può verificare l’origine della sorgente di postMessage e BroadcastChannel messaggi, impedendo il renderer processo di mentire su chi ha inviato il messaggio.
Progetti per il futuro
Ma l’Isolamento del Sito ha ancora un sacco di spazio per espandere prima della effettiva “isolamento del sito” è realizzato, a tutti i livelli di Cromo codebase. Ottimale scenario sarà il momento in cui ogni sito viene eseguito in un processo che può accedere solo i propri dati.
Questo non è ancora possibile Chrome a causa di Chrome attuale architettura — ma questo cambierà in futuro.
Qui sono Google piani per il futuro, per l’Isolamento del Sito:
Portando queste protezioni di Chrome per Android. Questo richiede un lavoro supplementare di gestire il caso in cui solo alcuni siti sono isolati. Protezione CSRF difese. Sec-Fetch-Sito e l’Origine delle intestazioni di richiesta può essere verificata per evitare compromessi renderer dalla forgiatura di loro. La protezione più tipi di dati. Stiamo studiando come proteggere ulteriori tipi di dati di default con il Cross-Origin Leggi di Blocco. Rimozione di eccezioni. Stiamo lavorando per rimuovere i casi in cui queste protezioni non possono ancora applicare. Per esempio, un piccolo set di estensioni ancora più ampio di cross-site accesso da script di contenuti, fino al loro aggiornamento per il nuovo modello di sicurezza. Abbiamo già lavorato con estensione autori per portare interessato utente di Chrome popolazione dal 14% al 2%, così come indurire altra estensione di problemi di sicurezza. Inoltre, l’Isolamento del Sito non si applica a Flash, che è attualmente disattivata per impostazione predefinita e viene su un apposito percorso.
Sicurezza
File audio WAV sono ora utilizzati per nascondere il codice dannoso
Edificio Cinese Comac C919 aereo coinvolto un sacco di hacking, rapporto dice
Phorpiex botnet fatto $115.000 in cinque mesi da massa-spamming sextortion e-mail
Nuovo Apple iPhone privacy funzione consente di vedere quali applicazioni traccia (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere con password un file zip in Linux (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati