После раскрытия уязвимостей Spectre и Meltdown, разработчики браузеров оказались в затруднительном положении. Им предстояла непростая задача соблюдения баланса между защитой от уязвимостей аппаратного уровня и негативным влиянием на производительность. Впервые функция строгой изоляции сайтов была добавлена в Chrome 63 в декабре 2017 года, но оставалась отключенной по умолчанию. Пользователи могли вручную изменить состояния флага, чтобы активировать функцию. Однако, в сценариях обычного использования пользователи редко сталкиваются со страницей настроек chrome://flags, на которой опция изоляции сайтов долгое время оставалась скрытой.
С выходом Google Chrome 67 в Google удаленно включили функцию для пользователей Windows, Linux, macOS и Chrome OS. На данный момент защитный механизм остается отключенным на Android, но ожидается, что в скором времени он должен быть включен и на этой платформе.
Хотя веб-сайты обычно не имеют доступа к хранящимся в браузере данных других веб-ресурсов из-за правил ограничения домена (Same Origin policy), функция строгой изоляции файлов усиливает данную защиту, помещая страницы с разных сайтов в разные изолированные друг от друга процессы.
Компания Google сообщает:
Данная технология позволяет блокировать доступ процесса к различным видам конфиденциальных данных с других сайтов. В результате вредоносный сайт не сможет получить доступ к данным других веб-ресурсов даже в случае обхода правил в своем собственном процессе.
Потребление ОЗУ возросло на 10-13%
Функция изоляции сайтов долгое время оставалась отключенной по умолчанию, потому что ее активация приводит к увеличению потребления ОЗУ на 10-13% в Chrome 67, хотя в Chrome 63 эти показатели были даже выше. Кроме того, работа данного механизма защиты может изменять поведение фреймов, в частности скрытые межсайтовые фреймы больше не смогут регистрировать клики. Google считает, что данное решение очень редко используется на практике. Кроме того, дополнительные проблемы с кликами и прокруткой в Chrome 67 с включенной изоляцией сайтов будут исправлены в Chrome 68 в конце июля.
Включение строгой изоляции сайтов позволяет Google отказаться от других вариантов защиты, которые были введены сразу после раскрытия Spectre и Meltdown, поскольку они стали избыточными. Прежде всего, речь идет о поддержке таймеров с высоким разрешением и об объекте SharedArrayBuffer (который мог использоваться для создания таймеров с высокой разрешающей способностью), отключенном поставщиками браузеров сразу после раскрытия уязвимостей.
Данные меры устранения рисков считались необходимыми в случае со Spectre и Meltdown, потому что для успешного проведения атак побочного канала требовалось точные манипуляции таймерами. Включение таймеров с высоким разрешением позволит разработчикам создавать веб-приложения, которые работают с данными в реальном времени.
Безопасность не важна? Как отключить изоляцию сайтов в Google Chrome
Если производительность для вас важнее безопасности, то вы можете отключить режим строгой изоляции в Google Chrome (на свой страх и риск), используя следующую инструкцию:
- Введите в адресную строку Chrome:
chrome://flags/#enable-site-per-process - Для функции Strict site isolation установите значение Disabled, если она включена по умолчанию
- Перезапустите браузер
Советы и рекомендации
• Как мы ускорили сборку ISO-образов с UUPDump на Windows 11 в 3 раза, отключив встроенный антивирус Microsoft Defender
• Какие ИИ сервисы работают в России с Comss.one DNS
• Как отдохнуть от соцсетей и создать собственный безопасный чат в табличном редакторе
• Google представила мультимодальную генерацию изображений для Gemini 2.0 Flash в AI Studio. Как попробовать бесплатно
• Инструкция: Как заставить все сайты использовать тёмный режим в Google Chrome
• Как транслировать экран Samsung Galaxy на Windows 11 ПК: Запуск Android-приложений на большом экране с клавиатурой и мышью