После раскрытия уязвимостей Spectre и Meltdown, разработчики браузеров оказались в затруднительном положении. Им предстояла непростая задача соблюдения баланса между защитой от уязвимостей аппаратного уровня и негативным влиянием на производительность. Впервые функция строгой изоляции сайтов была добавлена в Chrome 63 в декабре 2017 года, но оставалась отключенной по умолчанию. Пользователи могли вручную изменить состояния флага, чтобы активировать функцию. Однако, в сценариях обычного использования пользователи редко сталкиваются со страницей настроек chrome://flags, на которой опция изоляции сайтов долгое время оставалась скрытой.
С выходом Google Chrome 67 в Google удаленно включили функцию для пользователей Windows, Linux, macOS и Chrome OS. На данный момент защитный механизм остается отключенным на Android, но ожидается, что в скором времени он должен быть включен и на этой платформе.
Хотя веб-сайты обычно не имеют доступа к хранящимся в браузере данных других веб-ресурсов из-за правил ограничения домена (Same Origin policy), функция строгой изоляции файлов усиливает данную защиту, помещая страницы с разных сайтов в разные изолированные друг от друга процессы.
Компания Google сообщает:
Данная технология позволяет блокировать доступ процесса к различным видам конфиденциальных данных с других сайтов. В результате вредоносный сайт не сможет получить доступ к данным других веб-ресурсов даже в случае обхода правил в своем собственном процессе.
Потребление ОЗУ возросло на 10-13%
Функция изоляции сайтов долгое время оставалась отключенной по умолчанию, потому что ее активация приводит к увеличению потребления ОЗУ на 10-13% в Chrome 67, хотя в Chrome 63 эти показатели были даже выше. Кроме того, работа данного механизма защиты может изменять поведение фреймов, в частности скрытые межсайтовые фреймы больше не смогут регистрировать клики. Google считает, что данное решение очень редко используется на практике. Кроме того, дополнительные проблемы с кликами и прокруткой в Chrome 67 с включенной изоляцией сайтов будут исправлены в Chrome 68 в конце июля.
Включение строгой изоляции сайтов позволяет Google отказаться от других вариантов защиты, которые были введены сразу после раскрытия Spectre и Meltdown, поскольку они стали избыточными. Прежде всего, речь идет о поддержке таймеров с высоким разрешением и об объекте SharedArrayBuffer (который мог использоваться для создания таймеров с высокой разрешающей способностью), отключенном поставщиками браузеров сразу после раскрытия уязвимостей.
Данные меры устранения рисков считались необходимыми в случае со Spectre и Meltdown, потому что для успешного проведения атак побочного канала требовалось точные манипуляции таймерами. Включение таймеров с высоким разрешением позволит разработчикам создавать веб-приложения, которые работают с данными в реальном времени.
Безопасность не важна? Как отключить изоляцию сайтов в Google Chrome
Если производительность для вас важнее безопасности, то вы можете отключить режим строгой изоляции в Google Chrome (на свой страх и риск), используя следующую инструкцию:
- Введите в адресную строку Chrome:
chrome://flags/#enable-site-per-process - Для функции Strict site isolation установите значение Disabled, если она включена по умолчанию
- Перезапустите браузер
Советы и рекомендации
• Программа «Верни Сбер на iPhone» для Windows: Как восстановить приложение СберБанка на iOS не выходя из дома
• Как играть в Brawl Stars в России с помощью Comss.one DNS
• GitHub Copilot стал бесплатным: как получить доступ в России через Comss.one DNS
• Как использовать Google Gemini 2.0 Flash (Experimental) бесплатно – на сайте Gemini, в Google AI Studio и приложении
• Доступ к GitHub Copilot, Notion и Home Connect через Comss.one DNS в России
• Как использовать Sora – нейросеть OpenAI для генерации видео