Googleは昨年、SpectreなどのCPUサイドチャネル攻撃への対策として、Chromeブラウザのデスクトップ版にサイト分離機能を導入しました。この技術は、ウェブサイトを別々のプロセスでレンダリングすることで、ウェブサイト同士が干渉したり盗聴したりするのを防ぎ、ブラウザのサンドボックス防御を強化します。
今週木曜日、チョコレートファクトリーは先月リリースされたAndroid版Chrome 77のセキュリティメカニズムを有効化したと発表しました。また、同社はサイト分離防御を拡張し、デスクトップ版Chromeにおけるレンダラープロセスへの侵入やユニバーサルクロスサイトスクリプティング(UCS)の脆弱性から保護しました。
Androidのサイト分離機能には、約3~5%のメモリオーバーヘッドが発生するため、いくつかの制限事項があります。そのため、サイト分離機能を使用するには、モバイルデバイスに少なくとも2GBのRAMが搭載されている必要があります。また、この防御機能はログイン機能を備えたウェブサイトにアクセスした場合にのみ有効になり、Android版Chromeユーザーの99%に対してのみ有効となります。監視とパフォーマンスの基準値を提供するために、1%のデバイスは除外されます。
「Chromeがウェブサイト上でパスワード入力を検知すると、それ以降のそのサイトへのアクセスはサイト分離によって保護されます」と、Googleのソフトウェアエンジニアであるアレックス・モシュチュク氏とウカス・アンフォロヴィッチ氏はブログ記事で述べている。「つまり、そのサイトは他のサイトから隔離された専用のレンダラープロセスでレンダリングされるということです。」
メモリのごく一部をセキュリティ強化に充てることには満足できないユーザーは、chrome://flags/#enable-site-per-procesログイン フォームのあるサイトだけでなく、すべてのサイトでサイト分離を有効にするフラグ (経由) を設定できます。
こうすることで、Android 版 Chrome のメモリ オーバーヘッドがデスクトップ版 Chrome のレベルに近づく可能性が高くなります。サイト分離が多くのブラウザ タブに適用されている場合、Chrome 67 でテストしたところ、10 ~ 13 パーセントになります。
ミックスをブロック:ChromeはHTTPSページに混入したパッシブHTTPコンテンツをブロックする
続きを読む
デスクトップ版Chromeは、レンダリングプロセスからのデータ漏洩を防ぐだけでなく、より高度な機能強化を実現しました。デスクトップ版Chromeのサイト分離機能は、攻撃者がChromeのレンダリングエンジンであるBlinkのメモリ破損バグを悪用した場合でも、効果的に防御できるようになりました。
これが可能なのは、Chrome のブラウザ プロセスが、特定のレンダリング プロセスに関連付けられた Web サイトを識別し、利用可能な Cookie、パスワード、サイト データを制限できるため、サイト間のデータ取得を防止できるからです。
そして、それは良いことです。Googleの観察によると、ChromeのBlinkエンジンには、ファジング、バグ報奨金プログラム、開発者教育など、バグを回避するための多大な努力にもかかわらず、バグが頻繁に発生しています。レンダラーコンポーネントには、Chrome 69で10件、Chrome 70で5件、Chrome 71で13件、Chrome 72で13件、Chrome 73で15件の潜在的に悪用される可能性のあるバグがありました。
メモリオーバーヘッド以外にも、サイト分離はウェブ開発者にとってウェブサイトの構築方法に影響を与えます。Googleは、ドキュメントまたは子リソースが閉じられたりアンロードされたりした際にトリガーするために実装されたアンロードハンドラが、確実に実行されない可能性があると警告しています。また、サイト分離下でのフルページレイアウトは同期されなくなり、まだレンダリングされていないページ要素に関連する計算に支障をきたす可能性があります。®
