Η Mozilla ανακοίνωσε την έναρξη των δοκιμών μαζικές εκδόσεις των beta και νυχτερινών εκδόσεων του Firefox, λειτουργία απομόνωσης ιστότοπου αναπτύχθηκε από το έργο Fission.
Λειτουργία επεκτείνει τη χρήση της πολυνηματικής αρχιτεκτονικής · Αντί για μια σταθερή ομάδα διαδικασιών, δημιουργείται ξεχωριστή διαδικασία για κάθε ιστότοπο. Η ενεργοποίηση της λειτουργίας σχάσης ελέγχεται από τη μεταβλητή "fission.autostart = true" στο about: config ή στη σελίδα "about: preferences # πειραματικό".
Είμαστε στην ευχάριστη θέση να ανακοινώσουμε ότι η νέα αρχιτεκτονική απομόνωσης του Firefox έρχεται μαζί. Αυτός ο θεμελιώδης επανασχεδιασμός της αρχιτεκτονικής ασφαλείας του Firefox επεκτείνει τους τρέχοντες μηχανισμούς ασφαλείας δημιουργώντας όρια σε επίπεδο διαδικασίας λειτουργικού συστήματος για όλους τους ιστότοπους που ανεβαίνουν στον Firefox για επιτραπέζιους υπολογιστές. Η απομόνωση κάθε ιστότοπου σε μια ξεχωριστή διαδικασία λειτουργικού συστήματος καθιστά ακόμη πιο δύσκολο για κακόβουλους ιστότοπους να διαβάζουν τα μυστικά ή ιδιωτικά δεδομένα άλλου ιστότοπου.
Αυτήν τη στιγμή ολοκληρώνουμε τη δυνατότητα απομόνωσης του ιστότοπου του Firefox επιτρέποντας σε ένα υποσύνολο χρηστών να επωφεληθεί από αυτήν τη νέα αρχιτεκτονική ασφάλειας στα κανάλια Nightly και Beta και σχεδιάζουμε την ανάπτυξη περισσότερων από τους χρήστες μας αργότερα φέτος.
Πρέπει να θυμόμαστε το πολυνηματικό μοντέλο που χρησιμοποιείται στον Firefox μέχρι τώρα αφορούσε την έναρξη μιας ομάδας διαδικασιών χειρισμός: από προεπιλογή, 8 κύριες διεργασίες για την επεξεργασία περιεχομένου, 2 επιπλέον μη προνομιακές διαδικασίες για περιεχόμενο ιστού και 4 βοηθητικές διαδικασίες για προσθήκες, αλληλεπίδραση GPU, λειτουργίες δικτύου και αποκωδικοποίηση, δεδομένα πολυμέσων.
Η κατανομή των καρτελών μεταξύ των διεργασιών πραγματοποιήθηκε αυθαίρεταΓια παράδειγμα, η επεξεργασία ενός τραπεζικού ιστότοπου και ενός αναξιόπιστου αμφισβητήσιμου πόρου θα μπορούσε να είναι σε μία διαδικασία.
Η νέα λειτουργία μεταφέρει την επεξεργασία κάθε ιστότοπου σε ξεχωριστή διαδικασία, με διαίρεση όχι από καρτέλες, αλλά από τομείς, οι οποίοι επιτρέπει επιπλέον απομόνωση περιεχομένου από εξωτερικά σενάρια και μπλοκ iframe. Για να διαχωριστεί η επεξεργασία τυπικών υποτομέων υπηρεσιών που σχετίζονται με διαφορετικούς ιστότοπους, ο διαχωρισμός δεν εφαρμόζεται από επίσημους τομείς, αλλά από πραγματικούς τομείς ανώτερου επιπέδου (eTLD) που σημειώνονται στη λίστα δημόσιων επιθημάτων.
Λειτουργία επιτρέπει την προστασία μπλοκαρίσματος από επιθέσεις πλευρικών καναλιών, για παράδειγμα, που σχετίζεται με ευπάθειες κατηγορίας Spectre, που οδηγούν σε διαρροή πληροφοριών σε μία μόνο διαδικασία. Η διαρροή ευαίσθητων δεδομένων που υποβάλλονται σε επεξεργασία με την ίδια διαδικασία είναι δυνατή κατά την εκτέλεση μη αξιόπιστου εξωτερικού κώδικα σε μηχανές JIT και εικονικές μηχανές.
Στο πλαίσιο των προγραμμάτων περιήγησης ιστού, κακόβουλος κώδικας JavaScript σε έναν ιστότοπο μπορεί να ανακτήσει πληροφορίες σχετικά με κωδικούς πρόσβασης, κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών που έχουν εισαχθεί σε άλλο ιστότοπο που υποβάλλονται σε επεξεργασία με την ίδια διαδικασία.
Αρχικά, για την προστασία από επιθέσεις πλευρικών καναλιών, οι προγραμματιστές προγράμματος περιήγησης περιόρισαν την ακρίβεια του χρονοδιακόπτη και αποκλείουν την πρόσβαση στο SharedArrayBuffer API, αλλά αυτά τα μέτρα περιπλέκουν μόνο και επιβράδυναν την επίθεση (για παράδειγμα, προτάθηκε πρόσφατα μια μέθοδος με την ανάκτηση δεδομένων από την CPU προσωρινή μνήμη, χωρίς καθόλου JavaScript).
Άλλα πλεονεκτήματα αυστηρή λειτουργία απομόνωσης περιλαμβάνουν μειωμένο κατακερματισμό μνήμης, αποδοτικότερη επιστροφή μνήμης στο λειτουργικό σύστημα, ελαχιστοποιώντας τον αντίκτυπο της συλλογής απορριμμάτων και της έντασης σελίδας σε άλλες διαδικασίες, αυξάνοντας την αποτελεσματικότητα της εξισορρόπησης φορτίου σε διαφορετικούς πυρήνες CPU, αυξάνοντας τη σταθερότητα (αποκλείοντας τη διαδικασία που επεξεργάζεται το iframe δεν τραβάει τον κύριο ιστότοπο και άλλες καρτέλες πίσω του).
Μεταξύ των γνωστών ζητημάτων που συμβαίνουν κατά τη χρήση του Fission, υπάρχει σημαντική αύξηση της κατανάλωσης μνήμης, Συνδέσεις X11 και αρχείο deskriptrov κατά το άνοιγμα μεγάλου αριθμού καρτελών, καθώς και τη διακοπή ορισμένων συμπληρωμάτων, απώλεια περιεχομένου iframe για εκτύπωση και λειτουργία εγγραφής καταγραφής οθόνης κλήσεων, μείωση της αποτελεσματικότητας προσωρινής αποθήκευσης εγγράφων iframe, απώλεια περιεχομένου ολοκληρωμένων αλλά μη υποβαλλόμενων φορμών κατά την ανάκτηση περιόδου σύνδεσης μετά από σφάλμα.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.