logo

logo

Android 版的 Google Chrome 77 现在为更佳的安全性引入了站点隔离功能

2019-10-18 09:39:40 | 来源:XDA-Developers | 作者:HikariCalyx
站点隔离是Chrome 67于2018年4月推出的一项功能。该功能本质上带来了Chrome架构的重大变化,将每个渲染器进程限制为来自单个站点的文档。这样一来,Chrome就能依靠操作系统来防止进程之间以及站点之间的攻击。随着Chrome 77更新,此功能终于被引入到Android上。

原文链接:XDA-Developers 原文作者:Pranob Mehrotra

毫无疑问,Google Chrome是最受欢迎的网络浏览器之一。Google强调,他们将会使Chrome尽可能安全,并不断添加新功能从而使这种安全性得到保障。站点隔离是Chrome 67于2018年4月推出的一项功能。该功能本质上带来了Chrome架构的重大变化,将每个渲染器进程限制为来自单个站点的文档。这样一来,Chrome就能依靠操作系统来防止进程之间以及站点之间的攻击。随着Chrome 77的更新,此功能终于被引入到Android上。

Android版的Chrome上的站点隔离

与桌面上的站点隔离非常相似,该功能使用操作系统进程,使攻击者很难从其他站点上窃取数据。最重要的是,它可以最有效地防御类似Spectre的CPU漏洞。由于“站点隔离”是一项相当耗费资源的功能,和桌面端一样完整启用将会在Android设备上引起问题。因此,Android版Chrome使用的站点隔离形式更轻量,仅适用于用户使用密码登录的高价值站点。

Chrome 77更新之后,Chrome浏览器识别出站点上的密码交互后,以后对该站点的访问将受到“站点隔离”保护。该站点将以其自己的专用渲染器过程进行渲染,从而使其与其他站点保持隔离。如果您导航到其他站点,则该标签会自动切换流程,并且跨站点的iframe会完全放在另一个流程中。值得庆幸的是,Chrome已经众包了移动用户最常输入密码的站点列表,这意味着从一开始就可以保护您在这些站点上的安全。

Google承诺,实施只是幕后的架构更改,不应改变用户或开发人员的体验。虽然,由于实际工作负载中的总内存开销为3-5%,因此您可能会注意到对性能的某些影响。值得注意的是,更新后,密码触发的站点隔离将提供给99%的Chrome用户,这些用户的设备具有至少2GB的RAM,而其余的1%将被保留以监视和改善性能。如果您无法通过密码触发站点隔离,则可以通过 chrome://flags/#enable-site-per-process 启用完整的站点隔离。但是在执行此操作之前,请注意隔离所有站点将具有较高的内存成本,从而导致性能降低。

桌面版的Chrome的站点隔离的改进

桌面版Chrome 77也对网站隔离进行了一些更改,这将有助于抵御明显更强的攻击。以前,“站点隔离”针对的是类似Spectre的攻击,这些攻击可能会泄漏特定渲染器进程中的数据。通过此更新,站点隔离现在将能够应对严重的攻击,在这种攻击中,安全漏洞会完全改变整个进程。

在Chrome 77中,“站点隔离”将帮助保护多种类型的敏感数据免受此类受损的渲染器进程的侵害,其中包括:

身份验证:Cookie和存储的密码只能由锁定到相应站点的进程访问。

网络数据:站点隔离功能使用跨域读取阻止功能来过滤流程中的敏感资源类型(例如HTML,XML,JSON,PDF),即使该流程试图针对Chrome的网络堆栈说谎。标有Cross-Origin-Resource-Policy标头的资源也受到保护。

存储的数据和权限:Renderer进程只能基于进程的站点锁定访问存储的数据(例如localStorage)或权限(例如麦克风)。

跨域消息传递:Chrome的浏览器进程可以验证postMessage和BroadcastChannel消息的来源,从而防止渲染器进程谎报消息的发送者。

此外,Google计划在之后版本的Chrome通过以下方式,继续改进受损的渲染器保护:

将这些保护功能引入Android版Chrome:这需要额外的工作来处理仅隔离某些网站的情况。

保护CSRF防御:可以验证Sec-Fetch-Site和Origin请求标头,以防止受损的渲染器伪造它们。

保护更多类型的数据:我们正在研究如何通过跨域读取阻止在默认情况下保护其他数据类型。

删除例外:我们正在努力删除可能尚未应用这些保护措施的情况。例如,一小部分扩展仍然可以从内容脚本获得更广泛的跨站点访问,直到它们更新到新的安全模型为止。我们已经与扩展程序作者合作,将受影响的Chrome用户数量从14%降低到2%,并解决其他扩展程序安全问题。此外,“站点隔离”不适用于Flash,该Flash当前默认情况下处于禁用状态,并且位于弃用路径上。

声明:本站原创文章版权和编译文章的中文版权归专门网所有。转载本站作品用于非商业用途无需许可,但需注明出处为专门网,商业用途须取得本站书面授权许可。

我要评论

评论 共有 0 条评论

加入51NB

资讯编辑

职位描述:

    1、负责网站资讯的编辑与发布;
    2、负责网站日常维护,喜欢策划撰写原创话题;

职位要求:

    1、 大专及以上学历;
    2、 有一定文字功底,能独立进行写作、编辑
    3、 对数码产品有浓厚兴趣,关注互联网新动态;
    4、 擅长使用新媒体运营工具;
    5、 工作具有很大灵活性,希望能发挥个人主观能动性。
请将您的简历发送至: service@51nb.com

翻译编辑

职位描述:

    翻译NotebookCheck等外媒评测文章;

职位要求:

    1、 拒绝机翻;
    2、 行文应言简意赅,考虑国内语言习惯;
    3、 能够学习使用简单的html格式代码。
请将您的简历发送至: service@51nb.com

评测编辑

职位描述:

    1、撰写数码产品相关开箱与评测;
    2、能够灵活运用外媒文章素材;

职位要求:

    没啥要求,能写出个性就行。
请将您的简历发送至: service@51nb.com

论坛编辑

职位描述:

    1、负责在论坛制造高质量的讨论话题;
    2、负责轻度的论坛板块管理工作;

职位要求:

    有玩论坛经验者优先
请将您的简历发送至: service@51nb.com

最新评论

会员登录 ×