В рамках общего обновления Chrome 92, выпущенного сегодня, Google расширяет доступность функции изоляции сайтов (Site Isolation) на Android, а также на расширения в настольных браузерах.
Функция изоляции сайтов получила широкую известность в свете уязвимостей процессоров Spectre и Meltdown 2018 года, которые могли позволить вредоносным веб-сайтам красть информацию для входа или другие данные с открытых страниц. Для противодействия этому Chrome отображает контент каждого открытого веб-сайта в отдельном процессе. Реализация на настольных компьютерах довольно проста, а Chrome 92 расширяет изоляцию сайтов на расширения, чтобы они больше не использовали общие процессы друг с другом.
Это обеспечивает дополнительный уровень защиты от вредоносных расширений, не удаляя при этом никаких существующих возможностей расширений.
На Android изоляция сайтов была широко внедрена с Chrome 77 в октябре 2019 года. Факторы производительности и энергопотребления мобильных устройств по своей сути ограничивают эту меру безопасности. «Облегченная форма» изоляции сайтов за последние два года защищала «высокоценные сайты», где пользователи входят в систему с помощью пароля. Сюда входят банковские и торговые сайты, для которых Chrome поддерживает список мобильных страниц, где часто вводятся учетные данные.
Изоляция всех сайтов по-прежнему слишком затратна для большинства устройств Android, поэтому наша стратегия заключается в улучшении эвристик для приоритизации сайтов, которые больше всего выигрывают от дополнительной защиты.
С Chrome 92 изоляция сайтов активна на сайтах, где пользователи входят через сторонние OAuth-провайдеры, такие как «Войти через Google». Она также будет активна для сайтов с заголовками Cross-Origin-Opener-Policy (COOP), которые может запросить любая страница.
Поддерживаемый с Chrome 83, этот заголовок позволяет операторам сайтов, заботящихся о безопасности, запрашивать новую группу контекстов просмотра для определенных HTML-документов. Это позволяет документу лучше изолировать себя от ненадежных источников, предотвращая попытки злоумышленников получить доступ или манипулировать основным окном сайта.
Как и прежде, для изоляции сайтов в Chrome для Android существует минимальный порог ОЗУ в 2 ГБ, хотя Google продолжает предлагать ручной флаг для включения на всех сайтах за счет памяти: chrome://flags/#enable-site-per-process.
С учетом этих соображений наши данные свидетельствуют о том, что новые улучшения изоляции сайтов не оказывают заметного влияния на общее использование памяти или производительность Chrome, при этом защищая многие дополнительные сайты с конфиденциальными пользовательскими данными.