Если вы отключите изоляцию сайта в Google Chrome

К настоящему времени вы наверняка слышали о «Призраке», зловещем дублированном недостатке безопасности, который затрагивает почти все современные процессоры. И это справедливо, поскольку уязвимость связана с вредоносными приложениями и веб-сайтами, получающими доступ к данным из областей, где они на самом деле не должны. Чтобы конкретно решить эту проблему, браузеры разработали различные механизмы безопасности, и одной из таких специфичных для Chrome реализаций является изоляция сайта.

Впервые представленный в Chrome v63 в качестве дополнительной функции безопасности, Site Isolation теперь запускается по умолчанию начиная с версии 67. Технически говоря, он достаточно искусен в смягчении спекулятивных атак на выполнение (на которых основан Spectre) благодаря изолированным процессам, которые он использует.

Но так же, как и с чем-либо хорошим, оно имеет свою цену, а точнее - производительность. Так что, может ли отключение изоляции сайта улучшить функционирование Chrome? Стоит ли компромисс в безопасности? Давайте разберемся.

Также на

Что такое Разрешить вход в Chrome и следует ли отключить его?

Призрак и Изоляция Места

Как и любой другой браузер, Google Chrome позволяет открывать несколько веб-сайтов, используя разные вкладки. До внедрения Site Isolation вкладки использовались для совместного использования общих процессов, что имеет смысл, поскольку дублирование задач будет пустой тратой системных ресурсов. Тем не менее, это идеальная ситуация для злонамеренной атаки на основе некорректной конструкции ЦП - Spectre.

Современные микропроцессоры используют умозрительное выполнение для предварительной загрузки данных из системной памяти в значительно более быстрый кэш-память ЦП как средство повышения общей производительности. Тем не менее, это дает уникальную возможность для вредоносного кода побудить процессор загружать конфиденциальные данные в свой кэш, используя общие процессы. Как только данные находятся в кэше ЦП, они остаются незащищенными (в отличие от системной памяти) и могут быть легко украдены.

Предположим, у вас открыта пара вкладок - одна с вашим банковским счетом, а другая с каким-то случайным сайтом. Теоретически, последнее, при условии, что оно имеет злонамеренное намерение, может погрузиться в кэш ЦП, использованный на предыдущей вкладке, а затем загружать и считывать информацию в любом месте - от данных входа в систему до криптографических ключей.

Хотя представить себе такой инцидент довольно сложно из-за ограниченного кэша ЦП (который составляет лишь небольшую долю по сравнению с системной памятью). Вместо этого вредоносный код точно определяет, какие данные украсть, сравнивая разницу между скоростями доступа к процессору. В конце концов, если все происходит быстрее, чем обычно, то это вызвано тем, что данные в кеше ЦП уже находятся в точном предположении.

После обнаружения уязвимости Spectre браузеры начали использовать различные обходные пути (например, таймеры с более низким разрешением для снижения точности определения скорости доступа к процессору) для отражения целевых атак. Тем не менее, они не являются идеальным средством противодействия угрозам, основанным на Spectre, и поэтому являются причиной изоляции сайта.

Изоляция сайта, как следует из названия, полностью изолирует вкладки друг от друга, создавая отдельные процессы для всех iframes (встроенных внешних ссылок), включая те, которые являются общими для других вкладок. Поскольку совместно используемые процессы играют важную роль, помогая вредоносному коду в мониторинге и чтении информации с других вкладок, использование независимых процессов Site Isolation хорошо подходит для устранения таких уязвимостей.

В нашем предыдущем примере с включенной изоляцией сайта портал вашего банковского счета работает совершенно по-другому и не имеет ничего похожего на другую вкладку. Эта «изоляция» сводит к минимуму возможность кражи информации в случае нарушения.

Увеличение объема памяти

Таким образом, вы должны задаться вопросом, приводит ли Site Isolation к снижению производительности из-за дополнительной системной памяти, используемой каждым независимым процессом - вкладкой браузера. Согласно блогу Google Online Security, реализация безопасности использует на 10-13% больше оперативной памяти, чем если бы эта функция не была активна в первую очередь. Это означает, что вам лучше, если вы включите его.

Давайте проверим, насколько точен этот показатель на практике. С отключенной изоляцией сайта на снимке экрана ниже показана пара веб-сайтов, которые используют много похожих фреймов. Только две вкладки имеют отдельные текущие задачи, без каких-либо независимых процессов для любого из фреймов.

Примечание. Снимки экрана отображаются с помощью встроенного в Chrome диспетчера задач. Чтобы получить к нему доступ, откройте меню Chrome, выберите «Дополнительные инструменты», а затем нажмите «Диспетчер задач».

Та же пара вкладок с включенной изоляцией сайта показана на следующем снимке экрана. Как вы можете видеть, количество дополнительных процессов значительно увеличилось из-за фреймов, используемых каждым сайтом. Кроме того, аналогичные процессы делятся на две части, чтобы снизить вероятность успешной спекулятивной атаки на выполнение. Если вы выполните математику (не считая задач Browser и GPU Process), оба сайта будут использовать примерно на 33% больше памяти.

Использование памяти значительно выше, чем заявлено Google. Тем не менее, рассмотрим показатель на 10-13% больше долгосрочного среднего. Сайты и даже отдельные веб-страницы различаются по количеству процессов и памяти, которые время от времени требуются. Следовательно, сценарий, приведенный выше, можно считать скорее выбросом.

Независимо от этого, изоляция сайта приводит к умеренному или в этом случае значительному увеличению накладных расходов памяти.

Также на

Стоит ли использовать синхронизирующую парольную фразу в Chrome?

Безопасность против Производительности

Отключение изоляции сайта приводит к снижению использования памяти и, возможно, к повышению производительности на младших устройствах. Тем не менее, Chrome достаточно хорошо справляется с управлением доступной памятью путем приостановки использования неиспользуемых вкладок. Учитывая, что использование памяти резко меняется от сайта к сайту, однозначного ответа нет. На устройствах с высокой системной памятью различия в производительности должны быть незначительными.

Совет: Кроме того, вы также можете взять на себя ручное управление вкладками от засорения памяти с помощью расширений, таких как The Great Discarder и The Great Suspender.

Но здесь есть подвох. Благодаря внедрению Site Isolation предполагается, что Chrome со временем отбросит уже существующие контрмеры против атак Spectre. Следовательно, его отключение приведет к еще большей подверженности вредоносным атакам.

Если взвесить все это, потенциальные уязвимости, вызванные Spectre, в сочетании с постоянно растущим использованием личных данных, делают отключение изоляции сайта плохой идеей. Если вы не работаете на низкоуровневой машине и не используете личные данные, только тогда вы можете даже подумать об отключении этой важной функции безопасности.

Отключение изоляции сайта

Отключение изоляции сайта подвергает ваш компьютер значительным угрозам безопасности. Однако, если вы хотите пойти дальше и отключить эту функцию, ниже приведены конкретные шаги для этого.

Предупреждение: с отключенной изоляцией сайта, воздержитесь от использования личных данных просмотра на любом веб-сайте. То же самое касается хранения конфиденциальной информации в Chrome, такой как пароли.

Шаг 1. На новой вкладке введите chrome: // flags и нажмите Enter, чтобы получить доступ к экспериментальным флажкам Chrome.

Шаг 2: Введите Site Isolation в строку поиска и нажмите Enter.

Шаг 3. Вы должны увидеть два флага Chrome, помеченные как «Строгая изоляция сайта» и «Отказ от пробной изоляции сайта».

• Установите для параметра Строгая изоляция сайта значение Отключено. Определенные устройства могут иметь этот параметр по умолчанию Отключено - в этом случае ничего не делать.
• Установите для параметра Отказ от участия в изоляции сайта значение Отказ (не рекомендуется).

Затем нажмите «Перезапустить сейчас», чтобы применить изменения.

Шаг 5: Изоляция сайта теперь отключена. Для проверки введите chrome: // process-internals на новой вкладке и нажмите клавишу ВВОД.

Режим изоляции сайта должен читаться как Отключено для обозначения подтверждения. Чтобы включить изоляцию сайта позднее, вернитесь и измените флаги на те, что были раньше, и перезапустите Chrome.

Также на

#хром

Нажмите здесь, чтобы увидеть нашу страницу статей Chrome

Нет, риск не стоит

Отключение критической функции безопасности Chrome, такой как Site Isolation, для уменьшения использования памяти не гарантируется. Особенно учитывая, как каждый сайт использует память по-разному. Таким образом, не следует искать любое предельное повышение производительности при потенциальной стоимости вашей личной информации. Если вы боретесь с производительностью, вы всегда можете рассмотреть возможность использования альтернативного браузера, такого как Firefox Quantum, который имеет гораздо меньший объем памяти по сравнению с Chrome, прежде чем делать что-то опрометчивое.