Kõik, mida peate teadma Chrome’i range saidiisolatsiooni kohta
Google on lisanud Chrome'i uue turvafunktsiooni nimega Strict Site Isolation, mis peaks pakkuma kaitset mõningate kohapealsete haavatavuste eest. Siiski jääb küsimus, kuidas Strict Site Isolution teile tegelikult kasu toob? Ja kas on mingeid puudusi, mis võivad teie sirvimist mõjutada?
Olen viimastel päevadel kasutanud Chrome'i range saidiisolatsiooniga. See pakub küll lisaturvalisust, kuid märkasin ka mõningaid puudusi, mis panid mind selle funktsiooni lubamise ümber mõtlema. Kui soovite Chrome'is lubada ka ranget saidiisolatsiooni, peate mõistma, kas see on selle pakutavat turvalisust väärt või mitte. Tänases postituses selgitan kõike, mida vajate õige otsuse tegemiseks.
Mis on Chrome'is saidi range isoleerimine?
Kui Chrome on lubatud, avab see iga veebisaidi jaoks spetsiaalse protsessi ja loob nende vahele range seina, mis hoiab neid eraldi. See loob iga veebisaidi jaoks spetsiaalse liivakasti, kus nad ei pääse juurde teiste veebisaitide teabele ega pääse nende teabele juurde teistel veebisaitidel.
Nakatunud veebisaidid saavad kasutada universaalse saidiülese skriptimise (UXSS) vigu, et pääseda juurde muudel vahekaartidel avatud veebisaitide teabele (nt kasutajanimedele ja paroolidele). See sarnaneb hiljutise Meltdowni ja Spectra haavatavusega.
Pärast Chrome'is range saidi eraldamise lubamist isoleeritakse veebisaidid teistest veebisaitidest, mistõttu nakatunud veebisaidid ei saa varastada teavet teistelt veebisaitidelt.
Pange tähele, et Chrome avab uue veebisaidi avamisel alati uue protsessi. Kuid pärast range saidi eraldamise lubamist peatab see ka veebisaitide juurdepääsu andmetele; sealhulgas tundlike dokumentide jagamine.
Saidi range isoleerimise puudused
Kuigi see on suur samm edasi turvalisuse vallas, on sellel ka oma puudused. On mõned ajutised probleemid, mis tuleks järgmise Chrome'i värskendusega lahendada. Kuigi rangel saidi eraldamisel on ka püsiv puudus.
Ajutised puudused
Allpool on toodud probleemid, millega võite kokku puutuda, kui lubate range saidiisolatsiooni kohe enne Chrome 64 värskendust.
- Lehtede printimise ajal võivad mõned alad lehtedel tühjaks jääda. Kui see juhtub, saate lehe esmalt lokaalselt salvestada ja seejärel printida.
- Gmail ei pruugi laadida, kui sellele pääsete juurde Chrome'i rakenduste ikooni kaudu. Kuigi juurdepääs veebiaadressi kaudu töötab endiselt.
- Mõnikord ei pruugi klõpsamine ja kerimine veebisaitidel töötada.
- Mõned arendaja tööriistad ei pruugi korralikult töötada, näiteks võrgupäringud ja saidiüleste iframe'ide küpsised.
- Samuti märkasin, et veebisaidid jäid laadimise ajal sagedamini kinni. Ringikuju muudkui keerles, aga veebisait ei avanenud. Kuigi värskendamine lahendas probleemi.
Püsiv puudus
Kuigi ülaltoodud puudused parandatakse peagi, on üks probleem, millega peate silmitsi seisma, kui range saidi eraldamine on lubatud. Kuna igal veebisaidil on oma protsess ja need on eraldatud, kasutab Chrome ka tavapärasest rohkem mälu ja protsessori ressurssi. Kasv võib sõltuvalt teie kasutusest olla 10–20%. Kuna kroom on juba teadaolevalt ressursinäljas, ei meeldi see ressursikasutuse edasine suurenemine kindlasti inimestele, kellel on madalamate näitajatega arvutid.
Kui Chrome'il on teie arvutis töötamisel juba probleeme, siis ärge lubage ranget saidiisolatsiooni. Või veel parem, lubage see ainult mõne tundliku saidi jaoks (nt teie panga ametlik veebisait) ja hoidke see teiste jaoks keelatud. Allpool näitan teile, kuidas seda teha.
Lubage Chrome'is kõikide saitide jaoks range saidi isoleerimine
Nüüd, kui teate, mis on range saidiisolatsioon ja kas peaksite selle lubama või mitte, vaatame, kuidas seda lubada. Seda saab teha kahel viisil: Chrome'i peidetud lipuseadete kaudu või käsurea lippe kasutades. Ma näitan teile mõlemat:
Lubage saidi range isoleerimine Chrome'i lippudest
Tippige aadressiribale chrome://flags#enable-site-per-processja vajutage sisestusklahvi. Järgmisel lehel lubage lipp „Saidi range isoleerimine" ja käivitage Chrome uuesti, kasutades allolevat nuppu „Taaskäivita”.
Lubage saidi range eraldamine käsurea lippudest
Sõltuvalt teie operatsioonisüsteemist saate range saidi eraldamise lubamiseks kasutada käsurea lippe. Protsess on igas operatsioonisüsteemis erinev. Ma näitan teile, kuidas seda Windowsis teha. Kui kasutate teist operatsioonisüsteemi, vaadake seda juhendit käsurea lippude määramise kohta.
Paremklõpsake töölaual Chrome'i otseteel ja valige „Atribuudid”.
Lisage siin vahekaardil „Otsetee” tühik ja seejärel välja „Sihtmärk”--site-per-process lõppu. Lisage kindlasti tühik ja seejärel kleepige see järelliide. Sihtväli peaks välja nägema selline:
D:ChromeChromeApplicationchrome.exe --site-per-process
Nüüd klõpsake "Rakenda" ja kui avate Chrome'i selle otsetee kaudu, lubatakse saidi range eraldamine. Samuti saate luua kaks Chrome'i otseteed ja lubada ühel range saidiisolatsiooni ja jätta selle teisel keelatuks. Kuid looge enne ülaltoodud protsessi läbimist kindlasti sekundaarne otsetee. Vastasel juhul rakenduvad kohandatud sätted mõlemale otseteedele.
Lubage teatud veebisaitide jaoks range saidi isoleerimine
Kui soovite seda turvameedet ainult tundlike veebisaitide jaoks, saate seda teha ka käsurea lippude abil.
Chrome'i atribuutide vahekaardi „Otsetee” avamiseks läbige ülaltoodud toiming. Nüüd lisage väljale „Sihtmärk” tühik ja seejärel lisage --isolate-origins=otse, millele järgneb ilma tühikuteta ja komadega eraldatud veebisaitide URL.
Näiteks:
D:ChromeChromeApplicationchrome.exe --isolate-origins=https://www.gtricks.com,https://google.com
See blokeerib ka domeenid ja kõik alamdomeenid.
Kokkuvõtteks
Range saidi isoleerimine on kindlasti funktsioon, mida tasub lubada, kuid sellel on mõned puudused, mida peaksite enne lubamist kaaluma. Soovitan vea parandamiseks oodata Chrome 64 värskendust, enne kui kasutate ranget saidiisolatsiooni. Kui aga olete teadvusel, saate selle ülaltoodud juhiste järgi kohe lubada.