Ar turėtumėte išjungti svetainės izoliavimą „Google Chrome“.
Įvairios / / November 29, 2021
Iki šiol tikrai esate girdėję apie „Spectre“ – grėsmingai pramintą saugumo trūkumą. veikia beveik visus šiuolaikinius procesorius. Ir teisingai, nes pažeidžiamumas yra susijęs su niekšiškomis programomis ir svetainėmis, pasiekiančiomis duomenis iš sričių, kuriose jie tikrai neturėtų. Siekdamos konkrečiai išspręsti šią problemą, naršyklės sukūrė įvairius saugos mechanizmus, o vienas iš tokių „Chrome“ įdiegimų yra svetainės atskyrimas.
Pirmą kartą „Chrome“ v63 kaip pasirenkama saugos funkcija, svetainės atskyrimas dabar veikia pagal numatytuosius nustatymus nuo 67 versijos. Techniškai kalbant, dėl naudojamų smėlio dėžės procesų jis gana gerai sušvelnina spekuliacines vykdymo atakas (kuriomis remiasi Spectre).
Tačiau, kaip ir bet kokio gero, tai turi savo kainą – tiksliau, našumą. Taigi, ar išjungus svetainės izoliavimą pagerėtų „Chrome“ veikimas? Ar verta keistis dėl saugumo? Išsiaiškinkime.
Spektras ir vietos izoliacija
Kaip ir bet kuri kita naršyklė, „Google Chrome“ leidžia atidaryti kelias svetaines naudojant skirtingus skirtukus. Prieš diegiant svetainės izoliavimą, skirtukai buvo naudojami bendriems procesams dalytis – tai prasminga, nes užduočių dubliavimas būtų sistemos išteklių švaistymas. Tačiau tokia situacija idealiai tinka piktybinei atakai, pagrįstai ydinga CPU konstrukcija – Spectre.
Šiuolaikiniai mikroprocesoriai naudoja spekuliacinį vykdymą, kad iš anksto įkeltų duomenis iš sistemos atminties į žymiai greitesnė procesoriaus talpykla kaip priemonę pagerinti bendrą našumą. Tačiau tai suteikia unikalią galimybę kenkėjiškam kodui paraginti centrinį procesorių paimti slaptus duomenis į talpyklą, išnaudojant bendrus procesus. Kai duomenys yra procesoriaus talpykloje, jie lieka neapsaugoti (priešingai nei sistemos atmintis) ir gali būti lengvai pavogti.
Tarkime, kad atidarėte keletą skirtukų – vienas su jūsų banko sąskaita, o kitas su kokia nors atsitiktine svetaine. Teoriškai pastarasis, jei turi piktų ketinimų, gali pasinerti į procesoriaus talpyklą, kurią naudoja buvusį skirtuką, tada įkelkite ir nuskaitykite informaciją nuo prisijungimo duomenų iki kriptografinės raktai.
Nors gana sunku įsivaizduoti, kad toks incidentas įvyktų dėl ribotos procesoriaus talpyklos (kuris palyginus yra tik maža dalis į sistemos atmintį), kenkėjiškas kodas tiksliai nustato, kokius duomenis pavogti, palygindamas procesoriaus prieigos skirtumą. greičius. Galų gale, jei viskas vyksta greičiau nei įprastai, tai lemia tai, kad duomenys jau yra procesoriaus talpykloje dėl tikslios spėlionės.
Aptikus „Spectre“ pažeidžiamumą, naršyklės pradėjo naudoti įvairius sprendimus (pvz., mažesnės skiriamosios gebos laikmačiai, siekiant sumažinti procesoriaus prieigos greičio nustatymo tikslumą), kad būtų išvengta tikslinių atakų. Tačiau jie nėra puiki priemonė kovoti su spektru pagrįstomis grėsmėmis, todėl svetainės izoliacija yra priežastis.
Svetainės izoliavimas, kaip rodo pavadinimas, visiškai izoliuoja skirtukus vienas nuo kito, sukurdamas atskirus procesus visiems „iframe“ (įterptoms išorinėms nuorodoms), įskaitant tuos, kurie yra bendri kitiems skirtukams. Kadangi bendri procesai atlieka svarbų vaidmenį padedant stebėti kenkėjišką kodą ir nuskaityti informaciją iš kituose skirtukuose, svetainės atskyrimo nepriklausomi procesai puikiai sušvelnina tokius procesus pažeidžiamumų.
Žvelgiant į ankstesnį pavyzdį, kai įjungtas svetainės atskyrimas, jūsų banko sąskaitos portalas veikia visiškai kitokiu procesu ir neturi nieko panašaus į kitą skirtuką. Ši „izoliacija“ iki minimumo sumažina galimybę pavogti informaciją pažeidimo atveju.
Padidėjęs atminties kiekis
Taigi turite susimąstyti, ar svetainės atskyrimas kainuoja dėl našumo dėl papildomos sistemos atminties, kurią naudoja kiekvienas nepriklausomas procesas – naršyklės skirtukas. Pagal „Google“ internetinės saugos tinklaraštyje, saugumo diegimas sunaudoja iki 10–13 % daugiau RAM nei tuo atveju, jei funkcija iš pradžių nėra aktyvi.
Pažiūrėkime, koks tikslus šis skaičius yra praktiškai. Kai neįjungta svetainės izoliavimo funkcija, toliau pateiktoje ekrano kopijoje parodyta keletas svetainių, kuriose naudojama daug panašių „iframe“. Tik dviejuose skirtukuose yra atskiros vykdomos užduotys, be jokių nepriklausomų procesų nė vienam „iframe“.
Pastaba: Ekrano kopijos rodomos naudojant „Chrome“ integruotą užduočių tvarkyklę. Norėdami jį pasiekti, atidarykite „Chrome“ meniu, pelės žymiklį pasirinkite Daugiau įrankių ir spustelėkite Užduočių tvarkyklė.
Tos pačios poros skirtukų su įjungta svetainės izoliacija rodoma kitoje ekrano kopijoje. Kaip matote, dėl kiekvienoje svetainėje naudojamų „iframe“ papildomų procesų labai padaugėjo. Be to, panašūs procesai dar skaidomi į dvi dalis, kad būtų sumažinta sėkmingo spekuliacinio egzekucijos atakos tikimybė. Jei atliksite skaičiavimus (neatsižvelgdami į naršyklės ir GPU proceso užduotis), abi svetainės sunaudos apie 33% daugiau atminties.
Atminties naudojimas gerokai viršija tai, ką nurodė Google. Tačiau apsvarstykite 10–13% didesnį skaičių nei ilgalaikis vidurkis. Svetainės ir net atskiri tinklalapiai kartais skiriasi procesų skaičiumi ir reikalinga atmintimi. Taigi aukščiau pateiktas scenarijus gali būti laikomas išskirtiniu.
Nepaisant to, svetainės atskyrimas vidutiniškai arba šiuo atveju žymiai padidina atminties sąnaudas.
Saugumas vs. Spektaklis
Išjungus svetainės izoliavimą sumažės atminties naudojimas ir galbūt padidės našumas žemos klasės įrenginiuose. Tačiau „Chrome“ yra gana puikiai valdo turimą atmintį sustabdant nenaudojamus skirtukus. Atsižvelgiant į tai, kad atminties naudojimas įvairiose svetainėse labai skiriasi, nėra galutinio atsakymo. Įrenginiuose su didele sistemos atmintimi našumo skirtumai turėtų būti nereikšmingi.
Bet čia yra laimikis. Dėl svetainės izoliavimo įdiegimo „Chrome“ laikui bėgant turėtų panaikinti esamas atsakomąsias priemones prieš „Spectre“ atakas. Taigi, jį išjungus, bus dar daugiau kenkėjiškų atakų.
Vertinant šiuos du dalykus, galimas Spectre sukeltas pažeidžiamumas kartu su nuolat didėjančiu asmeninių duomenų naudojimu daro svetainės izoliavimo išjungimą bloga idėja. Nebent naršote žemos klasės įrenginiu ir jokiu būdu nenaudojate asmeninių duomenų, tik tada turėtumėte net pagalvoti apie šios gyvybiškai svarbios saugos funkcijos išjungimą.
Svetainės izoliavimo išjungimas
Išjungus svetainės izoliavimą, jūsų kompiuteris susiduria su didelėmis saugumo grėsmėmis. Tačiau jei norite tęsti ir išjungti funkciją, toliau pateikiami konkretūs veiksmai, kaip tai padaryti.
Įspėjimas: Kai svetainių izoliavimas išjungtas, nenaudokite asmeninių naršymo duomenų bet kurioje svetainėje. Tas pats pasakytina apie slaptos informacijos, pvz., slaptažodžių, saugojimą „Chrome“.
1 žingsnis: Naujame skirtuke įveskite chrome://flags, tada paspauskite Enter, kad pasiektumėte eksperimentines Chrome vėliavėles.
2 žingsnis: Paieškos juostoje įveskite Site Isolation, tada paspauskite Enter.
3 veiksmas: Turėtumėte matyti dvi „Chrome“ vėliavėles, pažymėtas „Strict Site Isolation“ ir „Site Isolation Trial Opt Out“.
- Nustatykite Griežto svetainės izoliavimo vėliavėlę į Išjungta. Pagal numatytuosius nustatymus konkrečiuose įrenginiuose tai gali būti nustatyta kaip Išjungta – jei taip, nieko nedarykite.
- Svetainės izoliacijos bandomosios versijos atsisakymo žymą nustatykite į Atsisakymas (nerekomenduojama).
Tada spustelėkite Paleisti iš naujo dabar, kad pritaikytumėte pakeitimus.
5 veiksmas: Svetainės izoliavimas dabar išjungtas. Norėdami patikrinti, naujame skirtuke įveskite chrome://process-internals ir paspauskite Enter.
Svetainės izoliavimo režimas turėtų būti rodomas kaip Išjungtas, kad būtų nurodytas patvirtinimas. Jei norite vėliau įgalinti svetainės izoliavimą, grįžkite ir pakeiskite žymes į tokias, kokias jos buvo anksčiau, ir iš naujo paleiskite „Chrome“.
Ne, neverta rizikuoti
Išjungti svarbią „Chrome“ saugos funkciją, pvz., svetainės atskyrimą, siekiant sumažinti atminties naudojimą, negarantuojama. Ypač atsižvelgiant į tai, kaip kiekviena svetainė skirtingai naudoja atmintį. Taigi bet kokio ribinio našumo padidėjimo už galimą jūsų asmeninės informacijos kainą neturėtų būti ieškoma. Jei jums sunku pasiekti rezultatų, visada galite tai padaryti apsvarstykite galimybę naudoti alternatyvią naršyklę pvz., „Firefox Quantum“, kuris turi daug mažiau atminties, palyginti su „Chrome“, prieš atliekant bet kokius bėrimus.