Google con il rilascio di Chrome 67 ha attivato per impostazione predefinita una funzione di sicurezza chiamata “Isolamento del sito” nel suo browser web per tutti gli utenti desktop per aiutarli a proteggersi da molte minacce online, tra cui attacchi Spectre e Meltdown.
L’isolamento del sito è una caratteristica del browser web Google Chrome aggiunge un ulteriore confine di sicurezza tra i siti web, garantendo che i diversi siti siano sempre messi in processi separati, isolati l’uno dall’altro: poiché ogni sito nel browser ha il suo processo sandboxed, la funzione rende più difficile per i siti web non fidati di accedere o rubare informazioni dei tuoi account su altri siti web.
I ricercatori di Google Project Zero nel gennaio di quest’anno, quando hanno rivelato i dettagli delle vulnerabilità delle CPU Spectre e Meltdown, il gigante della tecnologia ha raccomandato agli utenti desktop Chrome di attivare manualmente la funzione d’isolamento del sito sui loro dispositivi per mitigare gli attacchi speculativi ai canali secondari.
Charlie Reis ingegnere di Google, in un post sul blog ha scritto:
«Anche se un attacco Spectre si verificasse in una pagina Web dannosa, i dati di altri siti Web non sarebbero generalmente caricati nello stesso processo, quindi l’aggressore avrebbe a disposizione molti meno dati, ciò riduce significativamente la minaccia posta dallo Spectre».
Google poiché i browser generalmente consentono alle pagine di incorporare immagini e script da qualsiasi sito, ha anche aggiunto un meccanismo chiamato Cross-Origin Read Blocking (CORB), un algoritmo in base al quale i dubbi carichi di risorse cross-origin possono essere identificati e bloccati dai browser web prima che raggiungano la pagina web. Il CORB riduce il rischio di perdita di dati sensibili mantenendoli lontano dalle pagine web di origine incrociata. Nella maggior parte dei browser, mantiene tali dati fuori da ambienti di esecuzione di script non attendibili. Nei browser con isolamento del sito, è in grado di mantenere completamente tali dati da processi di rendering non attendibili, aiutando anche contro gli attacchi dei canali laterali.
Google ha aggiunto che l’isolamento del sito offre anche una maggiore protezione contro un certo tipo di bug di sicurezza del browser web, chiamato Universal Cross-Site Scripting (UXSS).
I bug di sicurezza di questo form normalmente permettono a un attaccante di aggirare la stessa Same Origin Policy (regola della stessa origine) all’interno del processo di renderizzazione, anche se non gli danno il controllo completo sul processo.
Va notato che ulteriori processi generati dall’isolamento del sito potrebbero causare l’utilizzo di più memoria da parte di Chrome. Google ha promesso di ottimizzare questo comportamento per mantenere veloce il browser.
