Bør du deaktivere nettstedisolering i Google Chrome

Nå er det sikkert at du har hørt om 'Spectre', den illevarslende kalt sikkerhetsfeilen som berører nesten alle moderne CPU-er. Og med rette, siden sårbarheten dreier seg om skumle applikasjoner og nettsteder som får tilgang til data fra områder der de egentlig ikke burde gjort det. For å takle dette problemet spesielt, har nettlesere utviklet forskjellige sikkerhetsmekanismer, og en slik Chrome-spesifikk implementering er Site Isolation.

Site Isolation, som først ble introdusert i Chrome v63 som en valgfri sikkerhetsfunksjon, kjører som standard siden versjon 67. Teknisk sett er den ganske flink til å dempe spekulative utførelsesangrep (som Spectre er basert på) på grunn av sandkasseprosessene som den bruker.

Men akkurat som med alt godt, kommer det til en pris - for å være spesifikk, ytelse. Så, ville deaktivering av nettstedisolering forbedre hvordan Chrome fungerer? Er det verdt avveining i sikkerhet? La oss finne det ut.

Også på

Hva er tillat Chrome-pålogging, og bør du deaktivere det?

Spektre og stedets isolasjon

Akkurat som alle andre nettlesere lar Google Chrome deg åpne flere nettsteder ved å bruke forskjellige faner. Før implementering av nettstedisolering, faner som brukes til å dele vanlige prosesser - noe som er fornuftig siden duplisering av oppgaver ville være sløsing med systemressurser. Imidlertid er det en situasjon som er ideell for at et skadelig angrep kan skje basert på feil CPU-design - Spectre.

Moderne mikroprosessorer bruker spekulativ utførelse for å forhåndsbelaste data fra systemminnet til den betydelig raskere CPU-cachen som et middel til å forbedre den generelle ytelsen. Dette gir imidlertid en unik mulighet for ondsinnet kode til å be CPU om å hente sensitive data i cachen ved å utnytte delte prosesser. Når dataene er i CPU-cachen, blir de ikke beskyttet (i motsetning til systemminnet) og kan lett bli stjålet.

Anta at du har et par faner åpne - den ene med bankkontoen din, og den andre med et tilfeldig nettsted. I teorien kan sistnevnte, forutsatt at den har en ondsinnet intensjon, dykke ned i CPU-cachen som brukes av den tidligere fanen, og deretter laste og lese informasjon som strekker seg hvor som helst fra påloggingsdetaljer til kryptografiske nøkler.

Selv om det er ganske vanskelig å forestille seg at en slik hendelse finner sted på grunn av den begrensede CPU-cachen (som bare er en liten brøkdel sammenlignet med systemminnet). Den ondsinnede koden bestemmer i stedet nøyaktig hvilke data som skal stjeles ved å sammenligne forskjellen mellom CPU-tilgangshastigheter. Tross alt, hvis ting er raskere enn vanlig, skyldes det at dataene er i CPU-cachen allerede av nøyaktige spekulasjoner.

Etter å ha oppdaget Specter-sårbarheten, begynte nettlesere å bruke forskjellige midlertidige løsninger (for eksempel tidtakere med lavere oppløsning for å redusere nøyaktigheten for å bestemme CPU-tilgangshastigheter) for å avverge målrettede angrep. Imidlertid er de ikke et perfekt middel for å motvirke Spektre-baserte trusler, derav årsaken til Site Isolation.

Nettstedisolering, som navnet antyder, isolerer faner fra hverandre fullstendig ved å lage separate prosesser for alle iframes (innebygde eksterne lenker), inkludert de som er felles for andre faner. Siden delte prosesser spiller en stor rolle i å hjelpe ondsinnet kode fra å overvåke og lese informasjon fra andre faner, fungerer Site Isolations bruk av uavhengige prosesser godt for å dempe slike sårbarheter.

Når du ser på vårt forrige eksempel, med Site Isolation slått på, kjører bankkontoportalen din på en helt annen prosess, og deler ingenting som ligner på den andre fanen. Denne 'isolasjonen' reduserer muligheten for å stjele informasjon i tilfelle brudd til minimal.

Økt minne overhead

Så du må lure på om Site Isolation kommer til en kostnad for ytelsen på grunn av det ekstra systemminnet som brukes av hver uavhengig prosess - nettleserfanen. I følge Google Online Security Blog bruker sikkerhetsimplementeringen opptil 10-13% mer RAM enn hvis funksjonen ikke er aktiv i utgangspunktet. Det betyr at du har det bedre ved å aktivere det.

La oss sjekke hvor nøyaktig dette tallet er i praksis. Når ingen nettstedisolering er aktivert, viser skjermdumpen nedenfor et par nettsteder som bruker mange lignende iframes. Bare de to fanene har separate pågående oppgaver, uten uavhengige prosesser for noen av iframes.

Merk: Skjermbildene vises ved hjelp av Chrombs innebygde oppgavebehandling. For å få tilgang til den, åpner du Chrome-menyen, peker på Flere verktøy og klikker deretter Oppgavebehandling.

De samme par fanene, med Site Isolation aktivert, vises i neste skjermbilde. Som du ser er det en betydelig økning i antall tilleggsprosesser på grunn av iframes som brukes av hvert nettsted. Videre deles lignende prosesser videre i to for å dempe sjansene for et vellykket spekulativt utførelsesangrep. Hvis du gjør matematikken (ser bort fra nettleser- og GPU-prosessoppgavene), ender begge nettstedene opp med rundt 33% mer minne.

Minnebruken er betydelig over det som er oppgitt av Google. Vurder imidlertid tallet 10-13% mer av et langsiktig gjennomsnitt. Nettsteder, og til og med individuelle nettsider, er forskjellige i antall prosesser og minne som kreves fra tid til annen. Følgelig kan scenariet over anses som en mer outlier.

Uansett resulterer nettstedisolering i moderate, eller i dette tilfelle, betydelige økninger i hukommelseskostnadene.

Også på

Bør du bruke en synkroniseringspassfrase på Chrome?

Sikkerhet vs. ytelse

Deaktivering av nettstedisolering resulterer i et fall i minnebruken og øker muligens ytelsen på avanserte enheter. Imidlertid er Chrome ganske flink til å administrere tilgjengelig minne ved å suspendere ubrukte faner. Tatt i betraktning at minnebruken varierer drastisk fra sted til side, er det ingen definitive svar. På enheter med høyt systemminne bør forskjellene i ytelse være ubetydelige.

Tips: I tillegg kan du også ta det på deg å håndtere faner manuelt fra å tette opp minnet med bruk av utvidelser som The Great Discarder og The Great Suspender.

Men her er fangsten. På grunn av implementeringen av Site Isolation, er meningen at Chrome skal droppe eksisterende eksisterende tiltak mot Specter-angrep over tid. Derfor vil deaktivering av det føre til enda mer eksponering for ondsinnede angrep.

Å veie de to opp, potensielle sårbarheter forårsaket av Specter, kombinert med den stadig økende bruken av personopplysninger, gjør det å slå av Site Isolation til en dårlig idé. Med mindre du surfer på en avansert maskin og ikke bruker noen personopplysninger overhodet, bare da bør du selv vurdere å deaktivere denne viktige sikkerhetsfunksjonen.

Deaktivere isolering av nettstedet

Deaktivering av nettstedisolering utsetter datamaskinen din for betydelige sikkerhetstrusler. Imidlertid, hvis du ønsker å gå foran og deaktivere funksjonen, nedenfor er de konkrete trinnene for å gjøre det.

Advarsel: Når nettstedisolering er deaktivert, må du avstå fra å bruke personlige nettleserdata på ethvert nettsted. Det samme gjelder lagring av sensitiv informasjon på Chrome, for eksempel passord.

Trinn 1: Skriv en krom: // flagg på en ny fane, og trykk deretter Enter for å få tilgang til Chrome eksperimentelle flagg.

Trinn 2: Skriv Site Isolation i søkefeltet, og trykk deretter Enter.

Trinn 3: Du bør se to Chrome-flagg merket Strict Site Isolation og Site Isolation Trial Opt Out.

• Sett strengt nettstedisolasjonsflagg til deaktivert. Spesifikke enheter kan ha dette satt til Disabled som standard - hvis det er tilfelle, ikke gjør noe.
• Sett flagg for å velge bort nettstedets isolasjon for å velge bort (anbefales ikke).

Klikk deretter på Start på nytt nå for å bruke endringene.

Trinn 5: Nettstedisolering er nå deaktivert. For å bekrefte, skriv chrome: // prosess-internals i en ny fane, og trykk deretter Enter.

Nettstedsisolasjonsmodus skal lese som deaktivert for å betegne bekreftelse. For å aktivere Site Isolation på et senere tidspunkt, gå tilbake og endre flaggene slik de var før, og start Chrome på nytt.

Også på

#chrome

Klikk her for å se siden med kromartikler

Nei, det er ikke verdt risikoen

Det er ikke garantert å deaktivere en kritisk Chrome-sikkerhetsfunksjon som Site Isolation for å redusere minnebruken. Spesielt med tanke på hvordan hvert nettsted bruker minnet annerledes. Så noen marginale ytelsesgevinster til den potensielle kostnaden for din personlige informasjon bør ikke være ettertraktet. Hvis du sliter med ytelse, kan du alltid vurdere å bruke en alternativ nettleser som Firefox Quantum som har et mye lavere minneavtrykk sammenlignet med Chrome før du gjør noe utslett.