Google Chrome 77 memungkinkan Isolasi Situs untuk keamanan yang lebih baik di Android

Google Chrome tidak diragukan lagi salah satu browser web paling populer di luar sana dan untuk alasan yang bagus. Cepat, memiliki antarmuka pengguna minimal dan memiliki beberapa fitur luar biasa yang tidak akan Anda temukan di browser lain. Google juga menekankan untuk membuat Chrome seaman mungkin dan itu terus menambahkan fitur baru memastikan hal yang sama. Isolasi Situs adalah salah satu fitur yang diperkenalkan dengan Chrome 67 pada bulan April 2018. Fitur ini pada dasarnya membawa perubahan besar dalam arsitektur Chrome, membatasi setiap proses penyaji untuk dokumen dari satu situs. Ini memungkinkan Chrome untuk mengandalkan sistem operasi untuk mencegah serangan antar proses, dan karenanya, antar situs. Sekarang, fitur ini akhirnya menuju Chrome di Android dengan pembaruan Chrome 77.

Isolasi Situs di Chrome untuk Android

Sama seperti Isolasi Situs pada desktop, fitur ini menggunakan proses OS untuk mempersulit penyerang mencuri data dari situs web lain. Yang paling penting, ia menawarkan pertahanan paling efektif terhadap kerentanan CPU seperti Spectre. Namun, karena Isolasi Situs adalah fitur intensif sumber daya, itu pasti akan menyebabkan masalah pada perangkat Android. Itulah sebabnya Chrome untuk Android menggunakan bentuk yang lebih tipis dari Isolasi Situs yang hanya berfungsi di situs bernilai tinggi tempat pengguna masuk dengan kata sandi.

Setelah pembaruan, setelah Chrome mengidentifikasi interaksi kata sandi di situs web, kunjungan mendatang ke situs web itu akan dilindungi oleh Isolasi Situs. Ini berarti bahwa situs web akan dirender dalam proses penyaji khusus sendiri, menjaganya tetap terisolasi dari situs web lain. Jika Anda menavigasi ke situs web yang berbeda, tab akan secara otomatis beralih proses dan iframe lintas-situs akan dimasukkan ke dalam proses yang berbeda sekaligus. Untungnya, Chrome telah melakukan crowdsourced daftar situs web di mana pengguna seluler paling sering memasukkan kata sandi, yang berarti Anda akan dilindungi di situs-situs ini sejak awal.

Google berjanji bahwa implementasinya hanyalah perubahan arsitektur di belakang layar yang seharusnya tidak mengubah pengalaman bagi pengguna atau pengembang. Meskipun, karena ada 3-5% total overhead memori dalam beban kerja nyata, jadi Anda mungkin melihat beberapa efek pada kinerja. Perlu dicatat bahwa setelah pembaruan, Isolasi Situs yang dipicu oleh kata sandi akan tersedia bagi 99% pengguna Chrome yang memiliki perangkat dengan setidaknya 2GB RAM, sementara 1% sisanya akan ditahan untuk memantau dan meningkatkan kinerja. Jika Isolasi Situs yang dipicu kata sandi tidak memotongnya untuk Anda, Anda juga dapat mengaktifkan Isolasi Situs lengkap melalui chrome: // flags / # enable-site-per-process . Tetapi sebelum Anda melakukannya, perhatikan bahwa mengisolasi semua situs web akan memiliki biaya memori yang lebih tinggi, yang mengakibatkan kinerja yang lebih buruk.

Pembaruan untuk Isolasi Situs di Desktop

Chrome 77 untuk desktop juga menyertakan beberapa perubahan pada Isolasi Situs yang akan membantu mempertahankan diri dari serangan yang jauh lebih kuat. Sebelumnya, Isolasi Situs menargetkan serangan seperti Spectre yang dapat membocorkan data dari proses penyaji tertentu. Dengan pemutakhiran, Isolasi Situs sekarang akan dapat menangani serangan parah di mana proses yang lebih merah sepenuhnya dikompromikan melalui bug keamanan.

Di Chrome 77, Isolasi Situs akan membantu melindungi beberapa jenis data sensitif dari proses penyaji yang dikompromikan, termasuk:

  • Otentikasi: Cookie dan kata sandi yang disimpan hanya dapat diakses oleh proses yang dikunci ke situs terkait.
  • Data jaringan: Isolasi Situs menggunakan Pemblokiran Baca Lintas-Asal untuk menyaring tipe sumber daya sensitif (mis., HTML, XML, JSON, PDF) dari suatu proses, bahkan jika proses itu mencoba berbohong kepada tumpukan jaringan Chrome tentang asal-usulnya. Sumber yang dilabeli dengan tajuk Kebijakan Lintas Sumberdaya-Sumber Daya juga dilindungi.
  • Data yang tersimpan dan izin: Proses pemberi render hanya dapat mengakses data yang disimpan (mis. Penyimpanan lokal) atau izin (misalnya, mikrofon) berdasarkan kunci situs proses.
  • Olahpesan lintas-asal: Proses browser Chrome dapat memverifikasi sumber asal pesan postMessage dan BroadcastChannel, mencegah proses renderer berbohong tentang siapa yang mengirim pesan.

Selain itu, Google berencana untuk terus meningkatkan perlindungan penyair yang disusupi dengan cara berikut:

  • Membawa perlindungan ini ke Chrome untuk Android: Ini membutuhkan kerja ekstra untuk menangani kasus di mana hanya situs tertentu yang diisolasi.
  • Melindungi pertahanan CSRF: header permintaan Sec-Fetch-Site dan Origin dapat diverifikasi untuk mencegah penyaji yang dikompromikan memalsukannya.
  • Melindungi lebih banyak jenis data: Kami sedang menyelidiki cara melindungi tipe data tambahan secara default dengan Pemblokiran Baca Lintas-Asal.
  • Menghapus pengecualian: Kami berupaya menghapus kasus di mana perlindungan ini mungkin belum berlaku. Misalnya, satu set ekstensi kecil masih memiliki akses lintas situs yang lebih luas dari skrip konten, hingga ekstensi diperbarui ke model keamanan baru. Kami telah bekerja dengan penulis ekstensi untuk menurunkan populasi pengguna Chrome yang terpengaruh dari 14% menjadi 2%, serta memperkeras masalah keamanan ekstensi lainnya. Juga, Isolasi Situs tidak berlaku untuk Flash, yang saat ini dinonaktifkan secara default dan berada di jalur penghentian.

Sumber: Blog Chromium