Protegiendo más con Web page Isolation


El aislamiento de sitios de Chrome es una defensa de seguridad esencial que dificulta que los sitios net maliciosos roben datos de otros sitios web. En Home windows, Mac, Linux y Chrome OS, aislamiento del sitio protege todos los sitios net unos de otros, y también se asegura de que no comparta procesos con extensiones, que tienen más privilegios que los sitios world-wide-web. A partir de Chrome 92, comenzaremos a ampliar esta capacidad para que las extensiones ya no puedan compartir procesos entre sí. Esto proporciona una línea de defensa adicional contra extensiones maliciosas, sin eliminar ninguna capacidad de extensión existente.

Mientras tanto, Internet site Isolation en Android se centra actualmente en protegiendo solo sitios de alto valor, para mantener bajos los gastos generales de rendimiento. Hoy, anunciamos dos mejoras de aislamiento de sitios que protegerán más sitios para nuestros usuarios de Android. A partir de Chrome 92, Internet site Isolation se aplicará a los sitios en los que los usuarios inician sesión a través de proveedores externos, así como a los sitios que llevan encabezados Cross-Origin-Opener-Policy.

Nuestro objetivo continuo con Web site Isolation para Android es ofrecer capas adicionales de seguridad sin afectar negativamente la experiencia del usuario para dispositivos con recursos limitados. Aislamiento del sitio para todas Los sitios siguen siendo demasiado costosos para la mayoría de los dispositivos Android, por lo que nuestra estrategia es mejorar la heurística para priorizar los sitios que más se benefician de la protección adicional. Hasta ahora, Chrome ha estado aislando sitios donde los usuarios inician sesión ingresando una contraseña. Sin embargo, muchos sitios permiten a los usuarios autenticarse en un sitio de terceros (por ejemplo, sitios que ofrecen «Iniciar sesión con Google»), posiblemente sin que el usuario ingrese una contraseña. Esto se logra más comúnmente con el estándar de la industria Protocolo OAuth. A partir de Chrome 92, Web-site Isolation reconocerá las interacciones comunes de OAuth y protegerá los sitios que se basan en el inicio de sesión basado en OAuth, de modo que los datos del usuario estén seguros, independientemente de cómo el usuario elija autenticarse.

Además, Chrome ahora activará el aislamiento del sitio basado en el nuevo Política de apertura de origen cruzado (COOP) encabezado de respuesta. Compatible desde Chrome 83, este encabezado permite a los operadores de sitios web preocupados por la seguridad solicitar un nuevo grupo de contexto de navegación para determinados documentos HTML. Esto permite que el documento se aísle mejor de los orígenes no confiables, al evitar que los atacantes hagan referencia o manipulen la ventana de nivel remarkable del sitio. También es uno de los encabezados necesarios para usar potentes API como SharedArrayBuffers. A partir de Chrome 92, Internet site Isolation tratará los valores no predeterminados del encabezado COOP en cualquier documento como una señal de que el sitio subyacente del documento puede tener datos confidenciales y comenzará a aislar dichos sitios. Por lo tanto, los operadores de sitios que deseen asegurarse de que sus sitios estén protegidos por Internet site Isolation en Android pueden hacerlo proporcionando encabezados COOP en sus sitios.

Como antes, Chrome almacena los sitios recién aislados localmente en el dispositivo y borra la lista cada vez que los usuarios borran su historial de navegación u otros datos del sitio. Además, Chrome coloca ciertas restricciones en los sitios aislados por COOP para mantener la lista enfocada en los sitios usados ​​recientemente, evitar que crezca demasiado y protegerla del uso indebido (por ejemplo, al requerir la interacción del usuario en los sitios COOP antes de agregarlos a la lista). ). Seguimos exigiendo un umbral mínimo de RAM (actualmente 2 GB) para estos nuevos modos de aislamiento de sitios. Con estas consideraciones en su lugar, nuestros datos sugieren que las nuevas mejoras de Aislamiento de sitios no tienen un impacto notable en el uso o el rendimiento standard de la memoria de Chrome, mientras que protegen muchos sitios adicionales con datos confidenciales del usuario.

Dadas estas mejoras en Web-site Isolation en Android, también hemos decidido deshabilitar Mitigaciones del tiempo de ejecución de V8 para Spectre en Android. Estas mitigaciones son menos efectivas que el aislamiento del sitio e imponen un costo de rendimiento. Desactivarlos pone Android a la par con las plataformas de escritorio, donde se han desactivado desde Chrome 70. Le recomendamos que los sitios que deseen proteger los datos de Spectre deberían considerar la posibilidad de servir encabezados COOP, que a su vez activará el aislamiento del sitio.

Los usuarios que deseen la protección más completa para sus dispositivos Android pueden optar manualmente por el aislamiento completo del sitio a través de chrome: // flags / # empower-site-per-procedure, que aislará todos los sitios website pero conllevará un mayor costo de memoria.



Enlace a la noticia original