Google翻转浏览Chrome最新的防御技术

谷歌已经在Chrome中转换了一种防御技术，可以使光谱攻击更加困难，以窃取诸如登录凭据等信息。

新的安全技术称为“网站隔离”，历史数十年。但最近，它被引用为防范幽灵威胁的盾牌，处理器漏洞在谷歌的自己的工程师嗅到了多年前。谷歌揭开了2017年末的网站隔离，在Chrome 63中，为企业IT人员提供了一个选择，他们可以自定义辩护，以保护在外部网站上遭受威胁的威胁。公司管理员可以使用Windows GPOS - 组策略对象 - 以及通过组策略更广泛地部署之前的命令行标志。

后来，在4月推出的Chrome 66中，Google将现场测试开启了通用用户，他们可以通过Chrome：//标志选项启用网站隔离。谷歌清除了网站隔离最终将在浏览器中置换默认值，但该公司首先要验证解决裁剪问题的解决方案。用户可以通过更改选项页面中的一个设置来拒绝参与试验。

现在，谷歌已经在搜索巨头账户中转换了绝大多数Chrome用户的现场隔离 - 其中99％。“许多已知的问题已经解决了（Chrome 63），使其在默认情况下实现所有桌面Chrome用户，”Google软件工程师Charlie Reis，在公司博客中写道。

站点隔离，REIS解释说，“对Chrome的架构进行了大的变化，这些架构将每个渲染器流程从一个站点限制为文档。”启用站点隔离，将防止攻击者在分配给网站内容的Chrome进程中分享其内容。

“当启用站点隔离时，每个渲染器进程包含最多一个站点的文档，”REIS继续。“这意味着所有对跨站点文档的导航都会导致选项卡切换进程。这也意味着所有跨站点IFRames都会使用“upout-goung iframes”的父帧进行不同的过程。“瑞士雷斯补充说，在幽灵揭幕之前，这是铬的作品如何运作的重大变化，以及工程师一直在追求几年。

Reis“近十年前的博士论文在主题上，Chrome团队一直在六年。

默认情况下，在所有Chrome桌面实例中的99％默认情况下，浏览器的任务管理器默认情况下验证了防御并运行。注意专用于流式传输SiriusXM音乐的选项卡的不同进程编号以及它下面的子帧。

“这是一个极其令人印象深刻的成就，”Google的前高级软件工程师，但现在是竞争对手Microsoft的主要计划经理，推文Eric Lawrence。“谷歌投入了许多工程师 - 多年来，最初似乎没有从成本/福利Pov中没有出发的[观点]。然后，突然间，它不是一个很好的人做了[防御深度]，而是对一类攻击的重要防范。“

其他人也砍了。“目前的版本仅抵御数据泄漏攻击（例如幽灵），但工作正在防止受损害渲染器的攻击，”贾斯汀·施（Chrome Security on Chrome Security的主任。“我们还没有向Android运送到Android，因为我们仍然在资源消费问题上努力。”

该公司承认，资源消费可能不是网站隔离的谷歌强制性“问题”，但在使用该技术时有权衡。“由于进程数量较多，实际工作负载中的总存储器开销大约有10-13％，”Reis表示，然后添加了工程师正在继续努力减少内存命中。

至少额外的内存负荷估计小于以前。回到Chrome 63使用站点隔离首次亮相时，Google承认使用它会增加内存使用量高达20％。

用户将能够验证网站隔离是否已打开 - 它们“重新成为寒冷中遗漏的1％的一部分，作为谷歌”监控和改进性能“的一部分 - 在Chrome 68之后推出时本月通过键入chrome：//地址栏中的进程内限。（并不在Chrome 67或更早版本中工作。）目前，检查需要更多的工作份额：它在本文档中阐述了“验证”子标题。Computerworld使用后者确保其Chrome实例具有启用站点隔离。

[笔记：即使在Chrome中的“严格的站点隔离”项目中的项目“严格的站点隔离”，读取“已禁用”，也可以启用站点隔离。要关闭现场隔离，用户必须将项目“站点隔离试验选择退出”更改为“选择退出（不推荐）。”

Reis表示，网站隔离将包含在Android的Chrome 68中。还将添加更多功能在浏览器的桌面版本中。“我们”在浏览器进程中还致力于额外的安全检查，这将让网站隔离减轻不仅仅是幽灵攻击，还可以从完全受到的渲染器进程中攻击“，”他写道。“保持调整有关这些强制性的更新。”