يمكّن Google Chrome 77 "عزل الموقع" من توفير أمان أفضل على Android

يعد Google Chrome بلا شك أحد أكثر متصفحات الويب شعبية هناك ولأسباب وجيهة. إنه سريع ، ويحتوي على الحد الأدنى من واجهة المستخدم ويحتوي على بعض الميزات الرائعة التي لن تجدها في أي متصفح آخر. تركز Google أيضًا على جعل Chrome آمنًا قدر الإمكان ويواصل إضافة ميزة جديدة تضمن ذلك. تعد ميزة "عزل الموقع" إحدى الميزات التي تم تقديمها مع Chrome 67 مرة أخرى في أبريل 2018. وقد أحدثت هذه الميزة تغييرًا رئيسيًا في بنية Chrome ، حيث حصرت كل عملية عارض على المستندات من موقع واحد. سمح هذا لـ Chrome بالاعتماد على نظام التشغيل لمنع الهجمات بين العمليات ، وبالتالي بين المواقع. الآن ، بدأت هذه الميزة أخيرًا في الوصول إلى Chrome على Android مع تحديث Chrome 77.

عزل الموقع على Chrome لنظام Android

مثل ميزة عزل الموقع على سطح المكتب ، تستخدم الميزة عمليات نظام التشغيل لتجعل من الصعب على المهاجمين سرقة البيانات من مواقع الويب الأخرى. الأهم من ذلك ، أنه يوفر أفضل دفاع ضد ثغرات Spectre-like CPU. ومع ذلك ، نظرًا لأن "عزل الموقع" ميزة كثيفة الاستخدام للموارد ، فمن المحتم أن تتسبب في حدوث مشكلات على أجهزة Android. وهذا هو السبب في أن Chrome لنظام Android يستخدم شكلاً أقل نحافة من "عزل الموقع" لا يعمل إلا على المواقع عالية القيمة حيث يسجل المستخدمون الدخول بكلمة مرور.

بعد التحديث ، بمجرد أن يحدد Chrome تفاعل كلمة المرور على موقع ويب ، ستكون الزيارات المستقبلية لهذا الموقع محمية بواسطة عزل الموقع. هذا يعني أنه سيتم تقديم موقع الويب في عملية تقديم مخصصة خاصة به ، مما يجعله معزولًا عن مواقع الويب الأخرى. إذا انتقلت إلى موقع ويب مختلف ، فستبدل علامة التبويب العمليات تلقائيًا وسيتم وضع iframes عبر المواقع في عملية مختلفة تمامًا. لحسن الحظ ، قام Chrome بالفعل بتخصيص قائمة لمواقع الويب التي يدخل فيها مستخدمو الجوّال كلمات المرور بشكل متكرر ، مما يعني أنك ستتمتع بالحماية على هذه المواقع فورًا.

تعد Google بأن التنفيذ هو مجرد تغيير معماري خلف الكواليس لا ينبغي أن يغير تجربة المستخدمين أو المطورين. على الرغم من ذلك ، نظرًا لوجود حمولة إجمالي للذاكرة بنسبة 3-5٪ في أحمال العمل الحقيقية ، فقد تلاحظ بعض التأثير على الأداء. تجدر الإشارة إلى أنه عقب التحديث ، سيتم إتاحة عزل الموقع الذي يتم تشغيله بكلمة مرور لـ 99٪ من مستخدمي Chrome الذين لديهم جهاز به ذاكرة وصول عشوائي لا تقل عن 2 جيجابايت ، في حين سيتم الاحتفاظ بنسبة 1٪ المتبقية لمراقبة الأداء وتحسينه. في حالة عدم عزل الموقع المعزول بكلمة مرور فقط عنك ، يمكنك أيضًا تمكين عزل الموقع بالكامل عبر chrome: // flags / # enable-site-per-process . ولكن قبل القيام بذلك ، لاحظ أن عزل جميع المواقع سيكون له تكلفة ذاكرة أعلى ، مما يؤدي إلى أداء رديء.

تحديثات لعزل الموقع على سطح المكتب

يشتمل Chrome 77 لسطح المكتب أيضًا على بعض التغييرات التي تم إجراؤها على "عزل الموقع" والتي ستساعد في الدفاع ضد الهجمات الأكثر قوة. في السابق ، استهدف "عزل الموقع" هجمات شبيهة بشبح Specter يمكن أن تتسبب في تسرب البيانات من عملية تقديم معينة. مع التحديث ، سيتمكن "عزل الموقع" الآن من التعامل مع الهجمات الشديدة التي تتعرض فيها عملية إعادة الاستخدام للخطر بشكل كامل عبر خطأ أمان.

في Chrome 77 ، سيساعد "عزل الموقع" في حماية عدة أنواع من البيانات الحساسة من عمليات العارض هذه ، بما في ذلك:

  • المصادقة: لا يمكن الوصول إلى ملفات تعريف الارتباط وكلمات المرور المخزنة إلا عن طريق عمليات مقفلة على الموقع المقابل.
  • بيانات الشبكة: يستخدم "عزل الموقع" ميزة "حظر القراءة عبر الأصل" لتصفية أنواع الموارد الحساسة (على سبيل المثال ، HTML و XML و JSON و PDF) من إحدى العمليات ، حتى لو كانت هذه العملية تحاول أن تكذب على مجموعة شبكة Chrome حول مصدرها. كما يتم حماية الموارد التي تحمل عنوان رأس الموارد المشتركة.
  • البيانات المخزنة والأذونات: لا يمكن لعمليات Renderer سوى الوصول إلى البيانات المخزنة (على سبيل المثال ، localStorage) أو الأذونات (مثل الميكروفون) بناءً على قفل موقع العملية.
  • المراسلة عبر المصادر الأصلية : يمكن لعملية المتصفح Chrome التحقق من المصدر الأصلي لرسائل postMessage و BroadcastChannel ، مما يمنع عملية العارض من الكذب حول من أرسل الرسالة.

بالإضافة إلى ذلك ، تخطط Google لمواصلة تحسين حماية العارضين المعرضين للخطر بالطرق التالية:

  • تقديم هذه الحماية إلى Chrome لنظام Android: يتطلب ذلك مزيدًا من العمل لمعالجة الحالة التي يتم فيها عزل مواقع معينة فقط.
  • حماية دفاتر CSRF: يمكن التحقق من رؤوس طلبات طلب الموقع-المصدر والأصل لمنع مقدمي العروض الذين تعرضوا للتشويش من تزويرهم.
  • حماية المزيد من أنواع البيانات: نحن نبحث عن كيفية حماية أنواع البيانات الإضافية افتراضيًا باستخدام ميزة "منع قراءة المصدر".
  • إزالة الاستثناءات: نعمل على إزالة الحالات التي قد لا تنطبق فيها هذه الحماية بعد. على سبيل المثال ، لا تزال مجموعة صغيرة من الإضافات تتمتع بوصول أوسع عبر المواقع من البرامج النصية للمحتوى ، حتى يتم تحديثها إلى طراز الأمان الجديد. لقد عملنا بالفعل مع مؤلفي الإضافات لتخفيض عدد مستخدمي Chrome المتضررين من 14٪ إلى 2٪ ، بالإضافة إلى زيادة حدة مشكلات أمان الإضافات الأخرى. أيضًا ، لا ينطبق "عزل الموقع" على Flash ، والذي يتم تعطيله حاليًا بشكل افتراضي ويكون على مسار الإهمال.

المصدر: مدونة Chromium