En général, les sites Web ne peuvent pas accéder aux données d'autres sites Web dans le navigateur grâce à la politique de même origine. Cependant, des sites malveillants peuvent essayer de contourner cette politique pour attaquer d'autres sites Web, et occasionnellement, des bogues de sécurité sont trouvés dans le code du navigateur qui applique la politique de même origine. L'équipe Chrome vise à corriger ces bogues le plus rapidement possible.
Il faut rappeler que Chrome a toujours eu une architecture multi-processus dans laquelle différents onglets pouvaient utiliser différents processus de rendu. Un onglet donné peut même changer de processus lorsque vous naviguez vers un nouveau site dans certains cas. Cependant, il était toujours possible que la page d'un attaquant partage un processus avec la page d'une victime. Par exemple, les iframes intersites et les pop-ups inter-sites restent généralement dans le même processus que la page qui les a créés. Cela permettrait à une attaque par Spectre réussie de lire des données (par exemple, des cookies, des mots de passe, etc.) appartenant à d'autres cadres ou fenêtres contextuelles dans son processus.
L'isolation de site est une fonctionnalité de sécurité de Chrome qui offre une ligne de défense supplémentaire pour que ces attaques soient moins susceptibles de réussir. Elle garantit que les pages de différents sites Web sont toujours placées dans des processus différents, chacun s'exécutant dans un bac à sable qui limite ce que le processus est autorisé à faire. Cela empêche également le processus de recevoir certains types de données sensibles provenant d'autres sites. Par conséquent, avec l’isolation de site, il est beaucoup plus difficile pour un site Web malveillant d'utiliser des attaques par canal latéral spéculatives comme Specter pour voler des données provenant d'autres sites.
Lorsque l'isolation du site est activée, chaque processus de rendu contient des documents provenant d'au plus un site. Cela signifie que toutes les navigations vers des documents intersites provoquent un changement d'onglet dans les processus. Cela signifie également que toutes les iframes intersites sont placées dans un processus différent de leur cadre parent, en utilisant des iframes hors processus. Le fractionnement d'une seule page sur plusieurs processus est un changement majeur dans le fonctionnement de Chrome, et l'équipe de sécurité de Chrome poursuit cette démarche depuis plusieurs années, indépendamment de Specter. Les premières utilisations d'iframes hors processus livrées l'année dernière pour améliorer le modèle de sécurité de l'extension Chrome.
Dans Chrome 67, l'isolation du site a été activée pour 99% des utilisateurs sous Windows, Mac, Linux et Chrome OS. Compte tenu de l'ampleur de ce changement, Google a décidé de maintenir pour l'instant une retenue de 1% pour surveiller et améliorer les performances. Cela signifie que même si une attaque Spectre devait survenir sur une page Web malveillante, les données d'autres sites ne seraient généralement pas chargé dans le même processus, et il y aurait donc beaucoup moins de données disponibles pour l'attaquant. Cela réduit considérablement la menace posée par Specter.
Firefox va officiellement se mettre à l’isolation à son tour
Après une année de préparations secrètes, Mozilla a annoncé son intention d'implémenter une fonctionnalité d'isolation de site.
La fonctionnalité d'isolation de site de Chrome a été conçue comme un mécanisme de sécurité pour le navigateur Chrome des années avant sa publication, mais son déploiement a coïncidé avec la divulgation publique des défauts de processeur Meltdown et Specter, que Site Isolation a totalement atténué, même si cela n'a jamais été son objectif principal. .
Mozilla, qui a également fourni les correctifs Meltdown et Specter sous la forme de réduction de la précision de diverses fonctions JavaScript dans Firefox, a estimé que l'approche de Google en ce qui concerne les défauts du processeur était supérieure, car elle permettait également d'éviter de futurs exploits similaires et de nombreux autres problèmes de sécurité.
Nika Layzell, développeur de Mozilla, a déclaré que la Fondation avait commencé à travailler sur un mécanisme similaire d'isolation de site l'année dernière dans le cadre d'un projet portant le nom de code interne Project Fission.
Envoyé par Nika Layzell
Actuellement, Firefox est livré avec un processus pour l'interface utilisateur du navigateur et quelques processus (deux à dix) pour le code Firefox pour le rendu des sites Web.
Avec Project Fission, ces derniers processus seront modifiés et un processus distinct sera créé pour chaque site Web auquel l'utilisateur accède.
Cette séparation sera si fine que, comme dans Chrome, s’il existe un iframe sur la page, il recevra également son propre processus, protégeant ainsi les utilisateurs des menaces qui cachent du code malveillant dans des iframes (éléments HTML chargés sites Web à l'intérieur du site Web actuel).
La Fondation se donne déjà un premier délai
Envoyé par Nika Layzell
Et vous ?
Que pensez-vous de ce projet ?
Voir aussi :
Firefox 66 va bloquer la lecture automatique des médias joués avec du son, une mesure jugée insuffisante par les internautes
Firefox 65 disponible avec le support du format WebP et du codec ouvert AV1 qui promet une meilleure compression vidéo que les concurrents
Mozilla désactivera le plugin Flash par défaut dans Firefox 69 conformément à sa feuille de route, la suppression totale du support prévue pour 2020
Firefox 65 promet une sécurité accrue sur Linux, Android et macOS et apporte le support du format WebP de Google pour un Web plus rapide