گوگل بهمنظور کمک به محافظت از کاربران در برابر بسیاری از تهدیدات آنلاین، از جمله آسیبپذیریهای Spectre و Meltdown، با انتشار نسخهی ۶۷ کروم، ویژگی امنیتی «Site Isolation» را بهطور پیشفرض برای تمام کاربران دسکتاپ کروم فعال میکند. Site Isolation که یکی از ویژگیهای مرورگر وب کروم گوگل است، با اطمینان از این موضوع که وبسایتهای مختلف همیشه در پردازههای جداگانه قرار میگیرند، یک مرز امنیتی بیشتر میان وبسایتها اضافه میکند.
از آنجاییکه هر وبسایت در مرورگر فرآیند جعبهی شنی مخصوص به خود را دارد، این ویژگی باعث میشود که وبسایتهای غیرقابل اعتماد، قادر به پیدا کردن دسترسی و یا سرقت اطلاعات حسابهای کاربران در سایر وبسایتها نباشند. هنگامیکه در ماه ژانویه سال جاری، محققان پروژهی صفر گوگل جزئیات مربوط به آسیبپذیریهای پردازنده، یعنی Spectre و Meltdown را منتشر کردند، این غول فناوری به کاربران دسکتاپ کروم توصیه کرد که بهمنظور کاهش حملات احتمالی کانال جانبی، ویژگی Site Isolation را بهصورت دستی بر روی دستگاههای خود فعال نمایند.
محققان گوگل گفتند: «حتی اگر در یک صفحهی مخرب، حملهی Spectre رخ دهد، دادههای وبسایتهای دیگر بر روی همان فرآیند بارگیری نخواهند شد، بنابراین اطلاعات بسیار کمتری در دسترس مهاجم قرار میگیرد. این امر، خطر تهدید آسیبپذیری Spectre را بهطور چشمگیری کاهش میدهد.» پس از کشف انواع مختلف آسیبپذیری Spectre و نسخههای جایگزین آن، گوگل درحال حاضر این ویژگی امنیتی را بهطور پیشفرض، برای ۹۹ درصد کاربران دسکتاپ کروم در سیستم عاملهای ویندوز، مک، لینوکس و کروم فعال کرده است.
با توجه به گسترهی وسیع تغییرات جدید، این شرکت بهمنظور کنترل و بهبود عملکرد، در حال حاضر این ویژگی امنیتی را برای ۱ درصد باقیمانده فعال نکرده است. گوگل همچنین درحال بررسی راههایی برای گسترش ویژگی Site Isolation برای کروم اندروید است، اما کاربران اندروید نیز میتوانند این ویژگی را بهصورت دستی فعال کنند. این شرکت گفت: «خط مشی این سازمان در فعال کردن Site Isolation با انتشار نسخهی ۶۸ کروم برای اندروید نیز در دسترس خواهد بود. در حال حاضر، میتوان این ویژگی را بهصورت دستی در اندروید با طی کردن مسیر chrome://flags/#enable-site-per-process فعال کرد.»
از آنجاییکه مرورگرها، جاسازی تصاویر و اسکریپتها از هر وبسایتی را به صفحات اجازه میدهند، گوگل سازوکار جدیدی به نام Cross-Origin Read Blocking (CORB) را نیز به ویژگی Site Isolation اضافه کرده است که توسط آن، مرورگر به یک برنامهی وب اجرا شده در مبدأ (دامنه) اجازه میدهد که به منابع انتخابشده از یک سرور در دامنهی دیگر دسترسی داشته باشد.
گوگل گفت: «علاوه بر این، ویژگی Isolation Site محافظت بیشتری را در برابر نوع خاصی از اشکال امنیتی مرورگر وب به نام universal cross-site scripting (UXSS) ارائه میدهد. این نوع از اشکالهای امنیتی، به مهاجم اجازه میدهند که در فرآیند رندرر، Same Origin Policy را دور بزند، هرچند که مهاجم نمیتواند کنترل کامل فرآیند را بهدست بگیرد.» لازم به ذکر است که فرآیندهای اضافی ایجاد شده توسط Site Isolation میتواند باعث شود که کروم از حافظهی بیشتری استفاده کند، اما گوگل وعده داده است که برای حفظ سرعت مرورگر خود، این رفتار را بهینهسازی کند.
منبع