Nueva característica de Chrome protege a los usuarios de Spectre

threatpost.com
threatpost.com


Chrome libero una nueva característica que otorga una capa mas de seguridad a los usuarios cuando estos navegan por Internet. Esta característica llamada Sitio Aislado o Site Isolation, hace que sea más difícil para los sitios web no confiables acceder o robar información de sus cuentas en otros sitios web.

Los sitios web típicamente no acceden a otros datos del navegador gracias a una característica llamada Same Origin Policy, pero ocasionalmente se encuentran bugs y sitios web maliciosos  que intentaran saltarse esa protección y atacar otro sitio web.

Site Isolation ofrece una segunda línea de defensa para evitar que estos ataques tengan éxito. Asegura que las páginas de diferentes sitios web siempre se coloquen en procesos diferentes, cada uno ejecutándose en un ambiente de Sandboxing que limita lo que el proceso puede hacer. También permitirá bloquear el proceso de recibir ciertos tipos de datos confidenciales de otros sitios. Como resultado, a un sitio web malicioso le resultará más difícil robar datos de otros sitios, incluso si puede romper algunas de las reglas en su propio proceso.

Esta nueva característica ya está disponible por defecto desde la versión 67 de Chrome, tanto en Windows, Mac, Linux y ChromeOS para proteger a quienes puedan leer información, inclusive los ataques de canal lateral como Spectre o Meltdown.

Esta protección es posible gracias a los siguientes cambios en el comportamiento de Chrome:


  • Los documentos entre sitios (Cross-Site) siempre se ponen en un proceso diferente, ya sea que la navegación esté en la pestaña actual, en una pestaña nueva o en un iframe (es decir, una página web incrustada dentro de otra).
  • Los datos entre sitios (Cross-Site) (específicamente HTML, XML y archivos JSON) no se entregan al proceso de una página web a menos que el servidor indique que se debe permitir (usando CORS).


Hay trabajos adicionales en curso para permitir que Site Isolation ofrezca protección contra errores de seguridad aún más severos, donde una página web maliciosa obtiene control completo sobre su proceso (también conocido como "ejecución de código arbitrario"). Estas protecciones aún no están completamente listas.

Existen algunos errores conocidos al utilizar esta función como por ejemplo, el uso de un 10 a 13% mas de recursos por parte de chrome, pero ya están trabajando para mejorar el rendimiento y la seguridad del navegador.