Ако деактивирате изолацията на сайта в Google Chrome

До този момент вие със сигурност ще чуете за „Призрак“, зловещо дублиран недостатък на сигурността засяга почти всички съвременни процесори, И това е правилно, тъй като уязвимостта се върти около опасни приложения и уебсайтове, които имат достъп до данни от области, където те наистина не бива да. За да се справят конкретно с този проблем, браузърите са разработили различни механизми за защита и едно такова изпълнение, специфично за Chrome, е Isolation Site.







За пръв път въведена в Chrome v63 като незадължителна функция за защита, сега изолацията на сайта работи по подразбиране от версия 67. Технически погледнато, тя е доста умела в смекчаването на спекулативните атаки при изпълнение (на които се базира Spectre) поради пясъчните процеси, които използва.

Но точно както при всичко добро, той идва на цена - да бъде конкретен, изпълнение. Така че, деактивирането на изолацията на сайтове ще подобри как функционира Chrome? Заслужава ли си компромисът със сигурността? Нека разберем.



Също и на Guiding Tech



Какво е разрешаване на влизането в Chrome и трябва ли да го деактивирате?
Прочетете още




Изолация на призрак и място

Както всеки друг браузър Google Chrome ви позволява да отваряте множество уебсайтове, като използвате различни раздели. Преди внедряването на изолация на сайтове раздели, използвани за споделяне на общи процеси - което има смисъл, тъй като дублирането на задачи би било загуба на системни ресурси. Това обаче е ситуация, идеална за злонамерена атака, базирана на дефектна CPU дизайн - Spectre.

Съвременните микропроцесори използват спекулативно изпълнение за предварително зареждане на данни от системната памет в значително по-бърз кеш на процесора като средство за подобряване на цялостното представяне. Това обаче предлага уникална възможност злонамерен код да подкани процесора да извлече чувствителни данни в кеша си, като използва споделени процеси. След като данните са в кеша на процесора, те остават незащитени (за разлика от системната памет) и могат лесно да бъдат откраднати.




Да предположим, че имате отворени няколко раздела - единият с вашата банкова сметка, а другият с някакъв случаен сайт. На теория последният, при условие че има злонамерено намерение, може да се потопи в кеша на процесора, използван от предишния раздел, и след това да зарежда и чете информация, варираща от където и да е данни за вход до криптографски ключове.

Макар че е доста трудно да си представим подобен инцидент поради ограничения кеш на процесора (което е само малка част от системната памет). Вместо това злонамереният код определя точно кои данни да се крадат, като се сравнява разликата между скоростите на достъп до процесора. В крайна сметка, ако нещата са по-бързи от обичайното, тогава това е причинено от това, че данните са в кеша на процесора вече от точни спекулации.




След откриване на уязвимостта на Spectre, браузърите започнаха да използват различни решения (като например таймери с по-ниска разделителна способност, за да се намали точността на определяне на скоростта на достъп до процесора), за да се отхвърлят насочените атаки. Те обаче не са перфектно средство за противодействие на заплахите, базирани на призрак, оттук и причината за изолация на сайта.

Изолация на сайта, както подсказва името, напълно изолира разделите един от друг, като създава отделни процеси за всички iframes (вградени външни връзки), включително тези, които са общи за други раздели. Тъй като споделените процеси играят голяма роля в подпомагането на злонамерен код от наблюдение и четене на информация от други раздели, Изолацията на сайтове и използването на независими процеси работи добре за смекчаване на такива уязвимости.

Разглеждайки предишния ни пример, с включена изолация на сайтове, порталът за банковата ви сметка работи по съвсем различен процес и не споделя нищо подобно на другия раздел. Това & lsquo; изолация & rsquo; свежда възможността за кражба на информация в случай на нарушение до минимум.





Увеличена памет над главата

Така че трябва да се чудите дали изолацията на сайта идва с висока производителност поради допълнителната системна памет, използвана от всеки независим процес - раздел браузър. Според блогът за онлайн сигурност на Google, внедряването на сигурността използва до 10-13% повече RAM памет, отколкото ако функцията не е активна на първо място. Това означава, че сте по-добре, като го активирате.

Нека проверим колко точно е тази цифра на практика. Без активирана изолация на сайта, екранната снимка по-долу показва няколко уебсайта, които използват много подобни рамки. Само двата раздела имат отделни текущи задачи, без независими процеси за нито един от кадрите.

Забележка: Екранните снимки се показват с помощта на вградения диспечер на задачи на Chrome. За достъп до него отворете менюто на Chrome, насочете към Още инструменти и след това щракнете върху Диспечер на задачи.


Същите няколко раздела, с активирана изолация на сайтове, са показани на следващата екранна снимка. Както можете да видите, има значително увеличение на броя на допълнителните процеси, дължащи се на iframes, използвани от всеки сайт. Освен това подобни процеси се разделят на две, за да се смекчат шансовете за успешна атака на спекулативно изпълнение. Ако направите математиката (без да се съобразявате със задачите на браузъра и процесора), и двата сайта се използват с около 33% повече памет.




Използването на паметта е значително над заявеното от Google. Въпреки това, помислете за цифрата от 10-13% повече от дългосрочната средна стойност. Сайтовете и дори отделните уеб страници се различават по броя на процесите и паметта, необходими от време на време. Следователно сценарият по-горе може да се счита за по-външен.

Независимо от това, изолацията на сайта води до умерени или в този случай значителни увеличения на режима на паметта.

Също и на Guiding Tech



Трябва ли да използвате парола за синхронизиране на Chrome?
Прочетете още




Сигурност срещу изпълнение

Деактивирането на изолацията на сайтове води до намаляване на използването на паметта и евентуално повишаване на производителността на устройства от нисък клас. Въпреки това, Chrome е доста умел в управлението на наличната памет чрез спиране на неизползвани раздели. Имайки предвид, че използването на паметта варира драстично от сайт на сайт, няма окончателен отговор. На устройства с висока системна памет разликите в производителността трябва да са незначителни.

Бакшиш: Освен това можете да го вземете и за ръчно управление на раздели от запушване на паметта с помощта на разширения като Голямата изхвърляне и Голямото спиране,

Но тук е уловката. Поради внедряването на изолация на сайтове, Chrome се предполага, че с времето ще отпадне съществуващите противодействия срещу Spectre атаки. Следователно, деактивирането му ще доведе до още повече излагане на злонамерени атаки.




Претеглянето на двете, потенциалните уязвимости, причинени от Spectre, в комбинация с непрекъснато нарастващата употреба на лични данни, прави изключването на изолацията на сайта лоша идея. Освен ако не сърфирате на нисък клас машина и не използвате никакви лични данни, само тогава трябва дори да помислите да деактивирате тази жизненоважна функция за сигурност.





Деактивиране на изолацията на сайта

Деактивирането на изолацията на сайта излага компютъра на значителни заплахи за сигурността. Ако обаче искате да продължите напред и да деактивирате функцията, по-долу са описани конкретните стъпки за това.

Внимание: Когато деактивирането на сайта не е разрешено, въздържайте се от използване на лични данни за сърфиране на всеки уебсайт. Същото важи и за съхраняването на чувствителна информация в Chrome, като паролите.

Етап 1: В нов раздел въведете chrome: // flags и натиснете Enter за достъп до експерименталните флагове на Chrome.




Стъпка 2: Въведете Isolation Site в лентата за търсене и натиснете Enter.




Стъпка 3: Трябва да видите два флага на Chrome, обозначени Стриктна изолация на сайта и Отказ за изпробване на изолация на сайта.

  • Задайте знака за строга изолация на сайта на Disabled. На определени устройства може да е зададен по подразбиране Disabled - Disabled - ако това е, не правите нищо.
  • Задайте флага на пробната изолация на сайта на Отказ (не се препоръчва).



След това щракнете върху Възстанови сега, за да приложите промените.

Стъпка 5: Изолацията на сайта вече е деактивирана. За да проверите, въведете chrome: // process-Internals в нов раздел и натиснете Enter.




Режимът на изолиране на сайта трябва да се чете като Деактивиран, за да се обозначава потвърждение. За да активирате Isolation Site по-късно, върнете се и променете флаговете по начина, по който са били преди, и рестартирайте Chrome.

Също и на Guiding Tech
#chrome
Щракнете тук, за да видите нашата страница с хромирани статии



Не, това не си струва риска

Деактивирането на критична функция за защита на Chrome, като изолация на сайта за намаляване на използването на паметта, не е гарантирано. Особено като се има предвид как всеки сайт използва паметта по различен начин. Така че не бива да се търсят пределни печалби от ефективността на потенциалната цена на вашата лична информация. Ако се борите с представянето, винаги можете помислете за използване на алтернативен браузър като Firefox Quantum, който има много по-нисък отпечатък на паметта в сравнение с Chrome, преди да направи нещо необмислено.