Dacă dezactivați izolarea site-ului în Google Chrome

Până acum, probabil că ați auzit despre „Spectre”, defectul de securitate numit în mod amenințător afectează aproape toate procesoarele moderne. Și pe bună dreptate, deoarece vulnerabilitatea se învârte în jurul aplicațiilor și site-urilor web nefaste care accesează date din zone în care chiar nu ar trebui. Pentru a face față în mod specific acestei probleme, browserele au dezvoltat diverse mecanisme de securitate, iar o astfel de implementare specifică Chrome este Izolarea site-ului.

Introdus pentru prima dată în Chrome v63 ca o funcție de securitate opțională, Site Isolation rulează acum în mod implicit începând cu versiunea 67. Din punct de vedere tehnic, este destul de abil în atenuarea atacurilor de execuție speculative (pe care se bazează Spectre) datorită proceselor sandbox pe care le utilizează.

Dar la fel ca orice lucru bun, are un preț - mai exact, performanță. Deci, dezactivarea izolării site-ului ar îmbunătăți modul în care funcționează Chrome? Merită compromisul în securitate? Să aflăm.

Spectrul și Izolarea Sitului

La fel ca orice alt browser, Google Chrome vă permite să deschideți mai multe site-uri web folosind diferite file. Înainte de implementarea Site Isolation, filele erau folosite pentru a partaja procese comune - ceea ce are sens, deoarece duplicarea sarcinilor ar fi o risipă de resurse de sistem. Cu toate acestea, aceasta este o situație ideală pentru ca un atac rău intenționat să aibă loc pe baza unui design defectuos al procesorului - Spectre.

Microprocesoarele moderne folosesc execuția speculativă pentru a preîncărca datele din memoria sistemului pe cache CPU considerabil mai rapid ca mijloc de îmbunătățire a performanței generale. Cu toate acestea, aceasta oferă o oportunitate unică pentru codul rău intenționat de a solicita procesorului să preia date sensibile în cache-ul său prin exploatarea proceselor partajate. Odată ce datele sunt în memoria cache a procesorului, acestea sunt lăsate neprotejate (spre deosebire de memoria de sistem) și pot fi furate cu ușurință.

Să presupunem că aveți câteva file deschise - una cu contul dvs. bancar, iar cealaltă cu un site aleatoriu. În teorie, acesta din urmă, cu condiția să aibă intenție rău intenționată, se poate scufunda în memoria cache a CPU utilizată de fosta filă, apoi încărcați și citiți informații, de la detaliile de conectare la cele criptografice chei.

Deși este destul de greu de imaginat un astfel de incident având loc din cauza memoriei cache limitate a procesorului (care este doar o mică parte în comparație cu în memoria sistemului), codul rău intenționat determină în schimb exact ce date să fure comparând diferența dintre accesul la CPU viteze. La urma urmei, dacă lucrurile sunt mai rapide decât de obicei, atunci asta este cauzat de datele care se află deja în memoria cache a procesorului prin speculații precise.

La descoperirea vulnerabilității Spectre, browserele au început să utilizeze diverse soluții (cum ar fi cronometre cu rezoluție mai mică pentru a scădea acuratețea determinării vitezei de acces la CPU) pentru a elimina atacurile vizate. Cu toate acestea, ele nu sunt un mijloc perfect de a contracara amenințările bazate pe Spectre, de unde motivul izolării site-ului.

Site Isolation, după cum sugerează și numele, izolează complet filele unele de altele prin crearea de procese separate pentru toate iframe-urile (linkuri externe încorporate), inclusiv cele care sunt comune altor file. Deoarece procesele partajate joacă un rol important în a ajuta codul rău intenționat să monitorizeze și să citească informații din alte file, utilizarea de către Site Isolation a proceselor independente funcționează bine în atenuarea acestora vulnerabilități.

Privind exemplul nostru anterior, cu Izolarea site-ului activată, portalul contului dvs. bancar rulează pe un proces complet diferit și nu partajează nimic similar cu cealaltă filă. Această „izolare” reduce la minim posibilitatea de a fura informații în cazul unei încălcări.

Overhead de memorie crescut

Așadar, trebuie să vă întrebați dacă Izolarea site-ului are un cost pentru performanță datorită memoriei suplimentare de sistem utilizate de fiecare proces independent - fila browser. Conform Blogul de securitate online Google, implementarea securității folosește cu până la 10-13% mai multă RAM decât dacă caracteristica nu este activă în primul rând.

Să verificăm cât de precisă este această cifră în practică. Fără izolarea site-ului activată, captura de ecran de mai jos arată câteva site-uri web care folosesc multe cadre iframe similare. Doar cele două file au sarcini separate în desfășurare, fără procese independente pentru niciunul dintre cadrele iframe.

Notă: Capturile de ecran sunt afișate folosind Managerul de activități încorporat din Chrome. Pentru a-l accesa, deschideți meniul Chrome, indicați spre Mai multe instrumente, apoi faceți clic pe Manager de activități.

Aceleași două file, cu Izolarea site-ului activată, sunt afișate în următoarea captură de ecran. După cum puteți vedea, există o creștere semnificativă a numărului de procese suplimentare datorită iframe-urilor utilizate de fiecare site. În plus, procesele similare sunt împărțite în două pentru a atenua șansele unui atac de execuție speculativ de succes. Dacă faceți calculul (ne țin cont de sarcinile de procesare a browserului și a GPU-ului), ambele site-uri ajung să utilizeze cu aproximativ 33% mai multă memorie.

Utilizarea memoriei este semnificativ peste ceea ce este declarat de Google. Cu toate acestea, luați în considerare cifra de 10-13% mai mult decât o medie pe termen lung. Site-urile și chiar paginile web individuale diferă din când în când în ceea ce privește numărul de procese și memoria necesară. Prin urmare, scenariul de mai sus poate fi considerat un outlier.

Indiferent, izolarea site-ului are ca rezultat creșteri moderate sau, în acest caz, semnificative ale supraîncărcării memoriei.

Securitate vs. Performanţă

Dezactivarea izolării site-ului are ca rezultat o scădere a utilizării memoriei și, eventual, crește performanța pe dispozitivele low-end. Cu toate acestea, Chrome este destul de expert în gestionarea memoriei disponibile prin suspendarea filelor nefolosite. Având în vedere că utilizarea memoriei variază drastic de la un site la altul, nu există un răspuns definitiv. Pe dispozitivele cu memorie mare de sistem, diferențele de performanță ar trebui să fie neglijabile.

Dar aici este prinderea. Datorită implementării Site Isolation, Chrome ar trebui să renunțe la contramăsurile preexistente împotriva atacurilor Spectre în timp. Prin urmare, dezactivarea acestuia va cauza și mai multă expunere la atacuri rău intenționate.

Cântărind cele două, potențialele vulnerabilități cauzate de Spectre, combinate cu utilizarea din ce în ce mai mare a datelor personale, fac ca dezactivarea izolației site-ului să fie o idee proastă. Cu excepția cazului în care navigați pe o mașină de ultimă generație și nu utilizați niciun fel de date personale, doar atunci ar trebui să vă gândiți chiar să dezactivați această caracteristică de securitate vitală.

Dezactivează izolarea site-ului

Dezactivarea izolației site-ului vă expune computerul la amenințări semnificative de securitate. Cu toate acestea, dacă doriți să continuați și să dezactivați funcția, mai jos sunt pașii specifici pentru a face asta.

Avertizare: Cu Izolarea site-ului dezactivată, abțineți-vă de la utilizarea datelor personale de navigare pe orice site web. Același lucru este valabil și pentru stocarea informațiilor sensibile pe Chrome, cum ar fi parolele.

Pasul 1: Într-o filă nouă, tastați chrome://flags, apoi apăsați Enter pentru a accesa steagurile experimentale Chrome.

Pasul 2: Introduceți Site Isolation în bara de căutare, apoi apăsați Enter.

Pasul 3: Ar trebui să vedeți două semnalizatoare Chrome etichetate Izolarea strictă a site-ului și Renunțarea la încercare de izolare a site-ului.

• Setați indicatorul Izolare strictă a site-ului la Dezactivat. Dispozitivele specifice pot avea această setare la Dezactivat în mod implicit - dacă acesta este cazul, nu faceți nimic.
• Setați indicatorul Renunțare la încercare de izolare a site-ului la Renunțare (Nerecomandat).

Apoi faceți clic pe Relansează acum pentru a aplica modificările.

Pasul 5: Izolarea site-ului este acum dezactivată. Pentru a verifica, tastați chrome://process-internals într-o filă nouă, apoi apăsați Enter.

Modul de izolare a site-ului ar trebui să fie Dezactivat pentru a indica confirmarea. Pentru a activa Izolarea site-ului mai târziu, întoarceți-vă și schimbați steagurile la modul în care erau înainte și reporniți Chrome.

Nu, nu merită riscul

Dezactivarea unei funcții critice de securitate Chrome, cum ar fi Izolarea site-ului, pentru a reduce utilizarea memoriei, nu este garantată. Mai ales având în vedere modul în care fiecare site utilizează memoria diferit. Prin urmare, orice câștig marginal de performanță cu costul potențial al informațiilor dvs. personale nu ar trebui căutat. Dacă te lupți cu performanța, poți oricând luați în considerare utilizarea unui browser alternativ cum ar fi Firefox Quantum, care are o amprentă de memorie mult mai mică în comparație cu Chrome înainte de a face ceva neplăcut.