Google は、最近導入された「Site Isolation」と呼ばれるブラウザ セキュリティ機能の利点を宣伝しています。
サイト分離は数か月かけて Chrome ブラウザのユーザーに徐々に導入されてきましたが、今回 Google がこの重要な技術を正式に発表しました。
サイト分離を有効にすると、Chrome はインターネットドメインごとに異なるブラウザプロセスを実行します。Google は当初、サイト分離を「ウェブサイト間の追加のセキュリティ境界」と説明しており、タブ内の悪意のあるウェブページが、他のドメインのページを表示するタブや iframe を妨害したり、スパイしたりするのを防ぐと説明していました。
この技術は、クロスサイトスクリプティング攻撃に対する防御だけではなく、悪名高いデータ漏洩を引き起こすSpectre CPUの脆弱性に対する必須の防御として位置付けられていると、今週のGoogleのブログ記事で説明されている。
Spectre のような投機的実行サイドチャネル攻撃は、ウェブブラウザにとって新たに発見されたセキュリティリスクです。ウェブサイトは、このような攻撃を利用して、ブラウザで開いている他のウェブサイトからデータやログイン情報を盗む可能性があります。こうした攻撃をより効果的に軽減するため、Chrome 67 では Windows、Mac、Linux、Chrome OS で「サイト分離」と呼ばれるセキュリティ機能が有効になりました。サイト分離は Chrome 63 以降、試験的なエンタープライズ ポリシーとしてオプションで利用可能でしたが、それ以降、多くの既知の問題が解決されたため、すべてのデスクトップ Chrome ユーザーに対してデフォルトで有効にすることが現実的になりました。
つまり、Windows、macOS、Linux、Chrome OSデバイスでは、Chromeはオペレーティングシステムが提供するセキュリティ境界を利用して、各ドメインをそれぞれのブラウザプロセスに隔離します。あるプロセスでページをレンダリングするスレッドは、投機的実行や巧妙なJavaScriptを介して他のサイトに干渉したり、覗き見したりすることができないため、悪意のあるページによるパスワードなどの機密情報の窃取を防ぎます。
以前に報告されたように、5月末のChrome 67のリリースにより、サイト分離はデスクトップでデフォルトで有効化されました。
Google はブログ投稿で、この技術がどのように機能するかを説明し、1 月に Spectre が出現する前からサイト分離に取り組んでいたと付け加えている。
サイト分離を有効にすると、各レンダラープロセスには最大1つのサイトからのドキュメントしか含まれなくなります。つまり、クロスサイトドキュメントへのナビゲーションはすべてタブのプロセス切り替えを引き起こします。また、すべてのクロスサイトiframeは「プロセス外iframe」を使用して、親フレームとは別のプロセスに配置されます。1 つのページを複数のプロセスに分割することは Chrome の動作に大きな変更をもたらすため、Chrome セキュリティ チームは Spectre とは関係なく、これを数年間にわたって追求してきました。
サイト分離はChromeの挙動を内部的に変更しますが、Googleによると「ほとんどのユーザーやウェブ開発者にとって目に見える変化は生じないはずです」とのことです。Chromeユーザーの大多数(99%)はデフォルトでサイト分離に移行しますが、Googleは100人中1人のユーザーを「パフォーマンスの監視と改善」のために一時的に保留にしています。
サイト分離により、1 つのページを複数のレンダラー プロセスに分割できるようになり、悪質なサイトが正当なサイトを覗き見することを防ぐことができます... 出典: Google
ソフトウェアにおけるスペクター対策はアプリケーションのパフォーマンスを低下させることが知られていますが、チョコレートファクトリーは大きな問題を懸念していないようです。この技術の長期にわたるソフトローンチにより、問題点を解消する十分な時間があったのです。
Googleは、既知の問題がいくつかあるAndroid版Chromeにサイト分離の適用範囲を拡大する方法を検討しています。プライムタイムに先立ち、Android版Chrome 68では、サイト分離を有効にするための試験的なエンタープライズポリシーが利用可能になります。®
