گوگل قابلیت «Site Isolation» را به‌طور پیش‌فرض برای کاربران دسکتاپ کروم فعال می‌کند

 

گوگل به‌منظور کمک به محافظت از کاربران در برابر بسیاری از تهدیدات آنلاین، از جمله آسیب‌پذیری‌های Spectre و Meltdown، با انتشار نسخه‌ی ۶۷ کروم، ویژگی امنیتی «Site Isolation» را به‌طور پیش‌فرض برای تمام کاربران دسکتاپ کروم فعال می‌کند. Site Isolation که یکی از ویژگی‌های مرورگر وب کروم گوگل است، با اطمینان از این موضوع که وب‌سایت‌های مختلف همیشه در پردازه‌های جداگانه قرار می‌گیرند، یک مرز امنیتی بیشتر میان وب‌سایت‌ها اضافه می‌کند.


از آنجایی‌که هر وب‌سایت در مرورگر فرآیند جعبه‌ی شنی مخصوص به خود را دارد، این ویژگی باعث می‌شود که وب‌سایت‌های غیرقابل اعتماد، قادر به پیدا کردن دسترسی و یا سرقت اطلاعات حساب‌های کاربران در سایر وب‌سایت‌ها نباشند. هنگامی‌که در ماه ژانویه سال جاری، محققان پروژه‌ی صفر گوگل جزئیات مربوط به آسیب‌پذیری‌های پردازنده، یعنی Spectre و Meltdown را منتشر کردند، این غول فناوری به کاربران دسکتاپ کروم توصیه کرد که به‌منظور کاهش حملات احتمالی کانال جانبی، ویژگی Site Isolation را به‌صورت دستی بر روی دستگاه‌های خود فعال نمایند.


محققان گوگل گفتند: «حتی اگر در یک صفحه‌ی مخرب، حمله‌ی Spectre رخ دهد، داده‌های وب‌سایت‌های دیگر بر روی همان فرآیند بارگیری نخواهند شد، بنابراین اطلاعات بسیار کمتری در دسترس مهاجم قرار می‌گیرد. این امر، خطر تهدید آسیب‌پذیری Spectre را به‌طور چشمگیری کاهش می‌دهد.» پس از کشف انواع مختلف آسیب‌پذیری Spectre و نسخه‌های جایگزین آن، گوگل درحال حاضر این ویژگی امنیتی را به‌طور پیش‌فرض، برای ۹۹ درصد کاربران دسکتاپ کروم در سیستم عامل‌های ویندوز، مک، لینوکس و کروم فعال کرده است.
 
با توجه به گستره‌ی وسیع تغییرات جدید، این شرکت به‌منظور کنترل و بهبود عملکرد، در حال حاضر این ویژگی امنیتی را برای ۱ درصد باقی‌مانده فعال نکرده است. گوگل همچنین درحال بررسی راه‌هایی برای گسترش ویژگی Site Isolation برای کروم اندروید است، اما کاربران اندروید نیز می‌توانند این ویژگی را به‌صورت دستی فعال کنند. این شرکت گفت: «خط مشی این سازمان در فعال کردن Site Isolation با انتشار نسخه‌ی ۶۸ کروم برای اندروید نیز در دسترس خواهد بود. در حال حاضر، می‌توان این ویژگی را به‌صورت دستی در اندروید با طی کردن مسیر chrome://flags/#enable-site-per-process فعال کرد.»


از آنجایی‌که مرورگرها، جاسازی تصاویر و اسکریپت‌ها از هر وب‌سایتی را به صفحات اجازه می‌دهند، گوگل سازوکار جدیدی به نام Cross-Origin Read Blocking (CORB) را نیز به ویژگی Site Isolation اضافه کرده است که توسط آن، مرورگر به یک برنامه‌ی وب اجرا شده در مبدأ (دامنه) اجازه می‌دهد که به منابع انتخاب‌شده از یک سرور در دامنه‌ی دیگر دسترسی داشته باشد.


گوگل گفت: «علاوه بر این، ویژگی Isolation Site محافظت بیشتری را در برابر نوع خاصی از اشکال امنیتی مرورگر وب به نام universal cross-site scripting (UXSS) ارائه می‌دهد. این نوع از اشکال‌های امنیتی، به مهاجم اجازه می‌دهند که در فرآیند رندرر،  Same Origin Policy را دور بزند، هرچند که مهاجم نمی‌تواند کنترل کامل فرآیند را به‌دست بگیرد.» لازم به ذکر است که فرآیندهای اضافی ایجاد شده توسط Site Isolation می‌تواند باعث شود که کروم از حافظه‌ی بیشتری استفاده کند، اما گوگل وعده داده است که برای حفظ سرعت مرورگر خود، این رفتار را بهینه‌سازی کند.
 

منبع

پست‌های مشابه

Leave a Comment