Come anticipato ad aprile, Chrome 67 guadagna una nuova funzione di sicurezza chiamata Site Isolation nelle versioni del browser per Windows, Mac, Linux e Chrome OS.
Disponibile opzionalmente come policy enterprise sperimentale da Chrome 63, è ora attivo per tutti gli utenti ed è una funzione di sicurezza importante perché mitiga attacchi all'esecuzione speculativa dei microprocessori come Spectre, limitando i dati a cui un attacco potrebbe avere accesso.
Site Isolation è descritto da Google come "un grande cambiamento dell'architettura di Chrome", che limita ogni processo renderizzato ai documenti di un singolo sito. Chrome può così affidarsi al sistema operativo per impedire attacchi tra i processi e di conseguenza tra i siti.
"Chrome ha sempre avuto un'architettura multi-processo dove schede differenti potevano usare differenti processi. Una data scheda poteva persino, in alcuni casi, cambiare i processi navigando in un nuovo sito. Era comunque possibile per una pagina attaccante condividere un processo con una pagina vittima. Ad esempio iframe e pop-up comuni rimanevano sullo stesso processo della pagina che li aveva creati. In questo caso, un attacco Spectre poteva leggere i dati (cookie, password, ecc.) appartenenti ad altri frame o pop-up nel processo", spiega Google.
Con Site Isolation ogni processo contiene documenti da non più di un sito. "Questo significa che tutta la navigazione verso documenti comuni tra più siti porta a una scheda a cambiare processi. Questo fa anche sì che gli iframe cross-site finiscano in un processo differente dal frame che li ha generati. Suddividere una singola pagina tra più processi è un grande cambiamento nel funzionamento di Chrome, una cosa che il team di sicurezza stava inseguendo da anni, indipendentemente da Spectre".
Senza entrare troppo nel tecnico, Site Isolation è una novità interessante e da accogliere bene, che agisce dietro le quinte per la nostra sicurezza. C'è un unico neo: un maggiore impatto sulla memoria, quantificato tra il 10 e il 13 percento.
Google assicura che continuerà a lavorare per migliorare le prestazioni, e sta anche pensando di estendere Site Isolation a Chrome per Android e di implementare altri controlli di sicurezza per permettere alla soluzione di mitigare anche altri attacchi rispetto a Spectre.