Google đã bật tính năng bảo mật có tên gọi là “Cách ly trang web” (Site Isolation) làm mặc định trong trình duyệt Chrome bản phát hành Chrome 67 cho tất cả người dùng máy tính để bàn giúp chống lại các mối đe dọa trực tuyến, bao gồm cả tấn công Spectre và Meltdown.
“Site Isolation” là một tính năng của trình duyệt Google Chrome nhằm thêm vào giới hạn bảo mật bổ sung giữa các trang web bằng cách đảm bảo rằng các trang web khác nhau luôn được đưa vào các quy trình riêng biệt, được tách biệt với nhau.
Vì mỗi trang web trong trình duyệt đều có quy trình hộp cát riêng nên tính năng này khiến cho việc các trang web không đáng tin cậy truy cập hoặc lấy cắp thông tin tài khoản của bạn trên các trang web khác trở nên khó khăn hơn.
Vào tháng 1 năm nay, khi các nhà nghiên cứu của Google Project Zero tiết lộ chi tiết về các lỗ hổng Spectre và Meltdown của CPU, gã khổng lồ công nghệ đã đề nghị người dùng Chrome Desktop tự bật tính năng “Site Isolation” trên thiết bị của họ để giảm thiểu các cuộc tấn công kênh suy luận.
Kỹ sư Google Charlie Reis giải thích rằng: “Ngay cả khi một cuộc tấn công Spectre xảy ra trong một trang web độc hại, dữ liệu từ các trang web khác thường sẽ không được nạp vào cùng một quá trình, và do đó sẽ có ít dữ liệu hơn cho kẻ tấn công”.
“Điều này làm giảm đáng kể mối đe dọa gây ra bởi Spectre.”
Sau khi phát hiện ra các biến thể và biến thể phụ Spectre khác nhau, Google giờ đây đã bật tính năng bảo mật này cho 99% người dùng Chrome trên Windows, Mac, Linux và Chrome OS.
Với việc áp dụng rộng rãi thay đổi này, công ty hiện đang giữ lại 1%, để theo dõi và cải thiện hiệu suất.
Google cũng đang tìm cách để mở rộng tính năng “Site Isolation” cho Chrome dành cho Android, nền tảng di động “nơi có thêm các sự cố đã biết”, nhưng người dùng Android chỉ có thể bật tính năng này theo cách thủ công.
“Các chính sách thử nghiệm để bật “Site Isolation” sẽ có trong phiên bản Chrome 68 dành cho Android và có thể bật theo cách thủ công trên Android bằng dòng lệnh chrome://flags/#enable-site-per-process”
Vì trình duyệt thường cho phép các trang web nhúng hình ảnh và tập lệnh từ trang web bất kỳ nên Google cũng đã thêm một cơ chế có tên là Cross-Origin Read Blocking (CORB) vào tính năng cách ly trang web “để bắt trình duyệt cấp quyền cho một ứng dụng web đang chạy ở một nguồn truy cập các tài nguyên đã chọn từ máy chủ ở một nguồn khác. ”
Google cho biết: “Ngoài ra, Site Isolation cũng mang lại nhiều chế độ bảo vệ hơn chống lại một loại lỗi bảo mật trên trình duyệt web, được gọi là chung cross-site scripting (UXSS)”.
“Các lỗi bảo mật dạng này thông thường sẽ cho phép kẻ tấn công bỏ qua Chính sách xuất xứ tương tự (Same Origin Policy) trong quá trình kết xuất đồ họa, cho dù chúng không cho phép kẻ tấn công hoàn toàn kiểm soát quá trình.”
Cần lưu ý rằng các quy trình bổ sung được tạo bởi Site Isolation có thể khiến Chrome sử dụng nhiều bộ nhớ hơn, nhưng Google hứa hẹn sẽ tối ưu hóa hành vi này để giữ cho trình duyệt của mình luôn được tối ưu.
Nguồn: Google Enables ‘Site Isolation’ Feature By Default For Chrome Desktop Users
Dịch bởi: Trần Việt Đức Nguyên
Visits: 263
