Стоит ли отключать изоляцию сайтов в Google Chrome

К настоящему времени вы наверняка слышали о Spectre, зловеще прозванной уязвимости безопасности, которая затрагивает почти все современные процессоры. И это правильно, поскольку уязвимость связана с гнусными приложениями и веб-сайтами, получающими доступ к данным из областей, в которых они действительно не должны. Специально для решения этой проблемы браузеры разработали различные механизмы безопасности, и одной из таких специфичных для Chrome реализаций является изоляция сайта.

Впервые представленная в Chrome v63 в качестве дополнительной функции безопасности, изоляция сайта теперь работает по умолчанию, начиная с версии 67. С технической точки зрения, она достаточно эффективна для предотвращения атак спекулятивного исполнения ( на котором основан Spectre) из-за того, что он использует изолированные процессы.

Но, как и все хорошее, это имеет свою цену — точнее, производительность. Итак, может ли отключение изоляции сайта улучшить работу Chrome? Стоит ли жертвовать безопасностью? Давайте узнаем.

Также в Guiding Tech

Spectre и изоляция сайтов

Как и любой другой браузер, Google Chrome позволяет открывать несколько веб-сайтов, используя разные вкладки. До внедрения Site Isolation вкладки использовались для совместного использования общих процессов, что имеет смысл, поскольку дублирование задач было бы пустой тратой системных ресурсов. Однако это идеальная ситуация для злонамеренной атаки на основе некорректной конструкции ЦП — Spectre.

Современные микропроцессоры используют спекулятивное выполнение для предварительной загрузки данных из системной памяти в значительно более быстрый кэш ЦП в качестве средства для улучшения общей производительности. Однако это дает вредоносному коду уникальную возможность побудить ЦП загрузить конфиденциальные данные в свой кэш, используя общие процессы. Как только данные попадают в кэш ЦП, они остаются незащищенными (в отличие от системной памяти) и могут быть легко украдены.

Предположим, у вас открыто несколько вкладок — одна с вашим банковским счетом, а другая с каким-то случайным сайтом. Теоретически последняя, ​​при условии, что она имеет злонамеренный умысел, может погрузиться в кэш ЦП, используемый первой вкладкой, а затем загрузить и прочитать информацию, начиная от данных для входа в систему и заканчивая криптографическими ключами.

Хотя Довольно сложно представить себе такой инцидент из-за ограниченного кеш-памяти ЦП (который составляет лишь крошечную долю по сравнению с системной памятью), вместо этого вредоносный код определяет, какие данные нужно украсть, сравнивая разницу между скоростями доступа ЦП. В конце концов, если все идет быстрее, чем обычно, то это вызвано тем, что данные уже находятся в кеше ЦП по точным предположениям..

После обнаружения уязвимости Spectre браузеры начал использовать различные обходные пути (например, таймеры с более низким разрешением для снижения точности определения скорости доступа к ЦП) для отражения целевых атак. Однако они не являются идеальным средством противодействия угрозам, основанным на Spectre, отсюда и причина изоляции сайта.

Изоляция сайта, как следует из названия, полностью изолирует вкладки друг от друга путем создания отдельных процессов для всех окон iframe (встроенных внешних ссылок), включая те, которые являются общими для других вкладок. Поскольку общие процессы играют большую роль в отслеживании вредоносного кода и считывании информации с других вкладок, использование независимых процессов Site Isolation хорошо работает для смягчения таких уязвимостей.

Рассмотрим наш предыдущий пример с Site Isolation. При включении портал вашего банковского счета работает в совершенно другом процессе и не имеет ничего похожего на другую вкладку. Эта «изоляция» сводит к минимуму возможность кражи информации в случае взлома.

Повышенные накладные расходы на память

Итак, вы должны задаться вопросом, достигается ли изоляция сайта снижение производительности из-за дополнительной системной памяти, используемой каждым независимым процессом — вкладка браузера. Согласно блогу Google Online Security Blog, реализация безопасности использует на 10-13% больше оперативной памяти, чем если бы эта функция изначально неактивна.

Давайте проверим, насколько точна эта цифра на практике. . Если изоляция сайтов не включена, на снимке экрана ниже показаны несколько веб-сайтов, которые используют много похожих окон iframe. Только две вкладки содержат отдельные текущие задачи без независимых процессов для каких-либо окон iframe.

Примечание. Снимки экрана отображаются с помощью встроенного диспетчера задач Chrome . Чтобы получить к нему доступ, откройте меню Chrome, выберите Дополнительные инструменты, а затем щелкните Диспетчер задач.

Те же самые вкладки с включенной изоляцией сайта показаны на следующем снимке экрана. Как видите, количество дополнительных процессов значительно увеличилось из-за окон iframe, используемых каждым сайтом. Кроме того, аналогичные процессы делятся на две части, чтобы снизить вероятность успешной атаки спекулятивного исполнения. Если вы сделаете математику (без учета задач браузера и процесса графического процессора), оба сайта в конечном итоге будут использовать примерно на 33% больше памяти.

Использование памяти значительно выше заявленного Google. Однако считайте цифру на 10-13% больше долгосрочной средней. Сайты и даже отдельные веб-страницы различаются по количеству процессов и памяти, которые время от времени требуются.. Следовательно, описанный выше сценарий можно рассматривать как выброс.

Тем не менее, изоляция сайта действительно приводит к умеренному или, в данном случае, значительному увеличению накладных расходов на память.

Также в Guiding Tech

Безопасность vs. Производительность

Отключение изоляции сайта действительно приводит к снижению использования памяти и, возможно, к повышению производительности на устройствах низкого уровня. Однако Chrome неплохо умеет управлять доступной памятью, приостанавливая неиспользуемые вкладки. Учитывая, что использование памяти сильно различается от сайта к сайту, однозначного ответа нет. На устройствах с большим объемом системной памяти разница в производительности должна быть незначительной.

Совет: Кроме того, вы также можете взять на себя ручное управление вкладками от засорения увеличить объем памяти с помощью таких расширений, как The Great Discarder и The Great Suspender.

Но вот загвоздка. Из-за реализации Site Isolation Chrome должен со временем отказаться от ранее существовавших мер противодействия атакам Spectre. Следовательно, его отключение приведет к еще большей уязвимости для злонамеренных атак.

Если взвесить все вместе, то потенциальные уязвимости, вызванные Spectre, в сочетании с постоянно растущим использованием личных данных, делают отключение изоляции сайтов плохой идеей. Если вы не пользуетесь компьютером низкого уровня и не используете какие-либо личные данные, только тогда вам следует даже подумать об отключении этой жизненно важной функции безопасности.

Отключение изоляции сайта

Отключение изоляции сайта подвергает ваш компьютер серьезным угрозам безопасности. Однако, если вы хотите продолжить и отключить эту функцию, ниже приведены конкретные шаги для этого.

Предупреждение. При отключенной изоляции сайта воздержитесь от использования персональные данные просмотра на любом веб-сайте. То же самое касается хранения конфиденциальной информации в Chrome, например паролей.

Шаг 1. На новой вкладке введите chrome://flags и нажмите Enter. для доступа к экспериментальным флагам Chrome.

Шаг 2: введите «Изоляция сайта» в строке поиска и нажмите Enter.

Шаг 3: вы должны увидеть два флажка Chrome, помеченные как» Строгая изоляция сайтов «и» Отказ от пробной изоляции изоляции сайтов «.

  • Установите для флага строгой изоляции сайта значение Отключено. На некоторых устройствах по умолчанию для этого параметра может быть установлено значение Отключено — в этом случае ничего не делайте.
  • Установите для флага отказа от пробной версии Site Isolation значение Opt-Out (не рекомендуется).

Затем нажмите «Перезапустить сейчас» чтобы применить изменения.

Шаг 5: Изоляция сайта теперь отключена. Для проверки введите chrome://process-internals в новую вкладку и нажмите Enter.

Режим изоляции сайта должен читаться как Отключено для обозначения подтверждения. Чтобы включить изоляцию сайта позже, вернитесь и измените флаги на те, которые были раньше, и перезапустите Chrome.

Также в Guiding Tech

Нет, рисковать не стоит

Отключение важной функции безопасности Chrome, такой как изоляция сайта, для уменьшения использования памяти не является оправданным. . Особенно учитывая то, как каждый сайт по-разному использует память. Поэтому не стоит стремиться к любому незначительному увеличению производительности за счет потенциальной стоимости вашей личной информации. Если вы боретесь с производительностью, вы всегда можете рассмотреть возможность использования альтернативного браузера, такого как Firefox Quantum, который имеет гораздо меньший объем памяти по сравнению с Chrome, прежде чем делать что-нибудь поспешное.

Вышеупомянутая статья может содержать партнерские ссылки, которые помогают поддерживать Guiding Tech. Однако это не влияет на нашу редакционную честность. Содержание остается непредвзятым и аутентичным.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *