谷歌浏览器现已默认启用网站隔离技术防御幽灵熔断漏洞
在经过数月测试后谷歌浏览器开发团队目前已经为桌面用户默认启用网站隔离功能用来防御幽灵和熔断漏洞。
幽灵和熔断漏洞是现代化处理器设计过程中出现的问题,很遗憾这个漏洞影响面非常广且无法彻底进行修复。
攻击者则可以利用漏洞读取其他线程的敏感数据,例如系统登录用户的密码或者应用程序下载或待上传数据。
通过浏览器执行恶意代码进行攻击显然更加方便,为此谷歌浏览器开发团队使用网站隔离技术缓解漏洞危害。
谷歌浏览器默认启用网站隔离技术:
所谓网站隔离技术即用户打开的所有网站都采用不同的进程,每个进程之间彼此隔离不得相互访问对方数据。
通过这种多个进程沙盒的方式来阻止恶意代码利用现代化处理器的幽灵和熔断漏洞来读取其他进程敏感信息。
当然谷歌开发团队也声明这种方式只是防御和缓解,因此并不能百分百的完全阻止恶意代码利用处理器漏洞。
意外情况让谷歌提前启用该技术:
原本这项功能还处于测试阶段,在此前多个版本的更新文章里蓝点网都提到谷歌正在收集网站开发者的意见。
因为这项功能可能造成部分网站出现兼容性或功能问题,开发者需要对此进行测试后再提交给谷歌团队处理。
但是日前麻省理工大学计算机科学与人工智能实验室的两名研究人员发现更具有危害性的幽灵漏洞变种漏洞。
所以谷歌开发团队决定提前提前开启该功能帮助用户应对潜在的攻击,对经常浏览网页的用户来说提高安全。
网站隔离技术还可以防御UXSS攻击:
UXSS即通用性跨站点脚本攻击,属于XSS跨站脚本攻击的分支。目前还没有看到太多使用UXSS的攻击案例。
这种漏洞通常可以让攻击者绕过渲染器进程的同源策略,虽然不会让攻击者完全控制进程但是有潜在的危害。
不过网站隔离技术生成的子进程和沙盒会占用更多的内存,不过谷歌承诺会继续优化降低内存提高响应速度。
已知问题:
开启网站隔离技术后谷歌浏览器占用的内存平均比平时多出 10% 左右,谷歌将会继续优化以降低内存占用。
面向WEB 开发者:启用此功能后谷歌浏览器开发者工具,将无法完全支持跨站点的iframe嵌入式框架内容。
国内用户请手动开启:
基于某些原因谷歌浏览器的云端调整策略可能无法让国内用户生效,因此基于安全考虑请用户手动开启功能。
谷歌浏览器地址栏输入 chrome://flags/#enable-site-per-process 然后将该策略默认设置改Enabled即可。