Google翻转浏览Chrome最新的防御技术
谷歌已经在Chrome中转换了一种防御技术,可以使光谱攻击更加困难,以窃取诸如登录凭据等信息。
新的安全技术称为“网站隔离”,历史数十年。但最近,它被引用为防范幽灵威胁的盾牌,处理器漏洞在谷歌的自己的工程师嗅到了多年前。谷歌揭开了2017年末的网站隔离,在Chrome 63中,为企业IT人员提供了一个选择,他们可以自定义辩护,以保护在外部网站上遭受威胁的威胁。公司管理员可以使用Windows GPOS - 组策略对象 - 以及通过组策略更广泛地部署之前的命令行标志。
[进一步阅读:谷歌“S Chromium浏览器”解释了]后来,在4月推出的Chrome 66中,Google将现场测试开启了通用用户,他们可以通过Chrome://标志选项启用网站隔离。谷歌清除了网站隔离最终将在浏览器中置换默认值,但该公司首先要验证解决裁剪问题的解决方案。用户可以通过更改选项页面中的一个设置来拒绝参与试验。
现在,谷歌已经在搜索巨头账户中转换了绝大多数Chrome用户的现场隔离 - 其中99%。“许多已知的问题已经解决了(Chrome 63),使其在默认情况下实现所有桌面Chrome用户,”Google软件工程师Charlie Reis,在公司博客中写道。
站点隔离,REIS解释说,“对Chrome的架构进行了大的变化,这些架构将每个渲染器流程从一个站点限制为文档。”启用站点隔离,将防止攻击者在分配给网站内容的Chrome进程中分享其内容。
“当启用站点隔离时,每个渲染器进程包含最多一个站点的文档,”REIS继续。“这意味着所有对跨站点文档的导航都会导致选项卡切换进程。这也意味着所有跨站点IFRames都会使用“upout-goung iframes”的父帧进行不同的过程。“瑞士雷斯补充说,在幽灵揭幕之前,这是铬的作品如何运作的重大变化,以及工程师一直在追求几年。
Reis“近十年前的博士论文在主题上,Chrome团队一直在六年。
谷歌默认情况下,在所有Chrome桌面实例中的99%默认情况下,浏览器的任务管理器默认情况下验证了防御并运行。注意专用于流式传输SiriusXM音乐的选项卡的不同进程编号以及它下面的子帧。
“这是一个极其令人印象深刻的成就,”Google的前高级软件工程师,但现在是竞争对手Microsoft的主要计划经理,推文Eric Lawrence。“谷歌投入了许多工程师 - 多年来,最初似乎没有从成本/福利Pov中没有出发的[观点]。然后,突然间,它不是一个很好的人做了[防御深度],而是对一类攻击的重要防范。“
其他人也砍了。“目前的版本仅抵御数据泄漏攻击(例如幽灵),但工作正在防止受损害渲染器的攻击,”贾斯汀·施(Chrome Security on Chrome Security的主任。“我们还没有向Android运送到Android,因为我们仍然在资源消费问题上努力。”
该公司承认,资源消费可能不是网站隔离的谷歌强制性“问题”,但在使用该技术时有权衡。“由于进程数量较多,实际工作负载中的总存储器开销大约有10-13%,”Reis表示,然后添加了工程师正在继续努力减少内存命中。
至少额外的内存负荷估计小于以前。回到Chrome 63使用站点隔离首次亮相时,Google承认使用它会增加内存使用量高达20%。
用户将能够验证网站隔离是否已打开 - 它们“重新成为寒冷中遗漏的1%的一部分,作为谷歌”监控和改进性能“的一部分 - 在Chrome 68之后推出时本月通过键入chrome://地址栏中的进程内限。(并不在Chrome 67或更早版本中工作。)目前,检查需要更多的工作份额:它在本文档中阐述了“验证”子标题。Computerworld使用后者确保其Chrome实例具有启用站点隔离。
[笔记:即使在Chrome中的“严格的站点隔离”项目中的项目“严格的站点隔离”,读取“已禁用”,也可以启用站点隔离。要关闭现场隔离,用户必须将项目“站点隔离试验选择退出”更改为“选择退出(不推荐)。”
Reis表示,网站隔离将包含在Android的Chrome 68中。还将添加更多功能在浏览器的桌面版本中。“我们”在浏览器进程中还致力于额外的安全检查,这将让网站隔离减轻不仅仅是幽灵攻击,还可以从完全受到的渲染器进程中攻击“,”他写道。“保持调整有关这些强制性的更新。”