Chrome 77 para Android obtiene la función de "aislamiento del sitio" de Google para proteger contra ataques similares a los espectros


Chrome 77 para Android recibió la función 'Aislamiento del sitio' que Google lanzó inicialmente a los usuarios de escritorio a través de Chrome 67 en julio del año pasado. La nueva característica ayuda a defender a los usuarios principalmente contra ataques que podrían aprovechar la vulnerabilidad de Spectre para obtener acceso a datos confidenciales de un proceso. Inicialmente, la función de aislamiento del sitio en dispositivos Android está habilitada solo para "sitios de alto valor" donde los usuarios inician sesión con una contraseña. Sin embargo, el gigante de las búsquedas tiene el plan de optimizar la función y expandir su presencia para mejorar aún más la seguridad de los usuarios de Chrome en la plataforma Android.

Como se detalló el año pasado, la función de aislamiento del sitio diseñada para evitar que el navegador muestre el contenido de cada sitio web abierto en el sistema y utilice un proceso dedicado para cada sitio. Esto restringe el intercambio de procesos entre múltiples sitios y ayuda a evitar ataques provocados por vulnerabilidades como Spectre que se reveló el año pasado.

"Comenzamos a aislar todos los sitios para usuarios de computadoras de escritorio en Chrome 67, y ahora estamos entusiasmados de habilitarlo en Android para los sitios en los que los usuarios inician sesión en Chrome 77", Google escribe

en una publicación de blog centrada en la seguridad.

La función de aislamiento del sitio utiliza recursos en segundo plano para mejorar la seguridad en Chrome 77 para Android que se lanzó el mes pasado. Esto, por lo tanto, afecta el rendimiento en cierta medida.

Sin embargo, Google dice que a diferencia de su versión de escritorio que aísla todos los sitios web, la función en Android está activada solo para sitios de alto valor que requieren detalles de inicio de sesión. "Esto protege los sitios con datos confidenciales que probablemente interesen a los usuarios, como bancos o sitios de compras, al tiempo que permite compartir procesos entre sitios menos críticos", dijo la compañía. notas en una publicación separada publicada en el blog Chromium.

Para garantizar que el cambio no afecte en gran medida el rendimiento, Google ha habilitado la función de aislamiento del sitio solo para dispositivos Android que tienen al menos 2 GB de RAM. El equipo de Chrome tiene planes de expandirlo a otros dispositivos en el futuro y está trabajando para "permitir que los operadores de sitios web opten por cualquier sitio para el aislamiento del sitio, sin requerir el inicio de sesión del usuario". Además, los usuarios pueden optar por la experiencia completa de aislamiento del sitio que está disponible en los escritorios al habilitar manualmente la opción desde "chrome: // flags / # enable-site-per-process".

Además de la llegada de la función de aislamiento del sitio para dispositivos Android, Google ha actualizado su presencia en los escritorios para ayudar a proteger contra "ataques significativamente más fuertes" a través de Chrome 77.

La publicación en el blog de Chromium destaca que la implementación actual de la función de aislamiento del sitio protege los datos confidenciales de los siguientes procesos de renderizado comprometidos:

  • Autenticación: solo se puede acceder a las cookies y contraseñas almacenadas mediante procesos bloqueados en el sitio correspondiente.
  • Datos de red: el aislamiento del sitio utiliza el bloqueo de lectura de origen cruzado para filtrar tipos de recursos confidenciales (por ejemplo, HTML, XML, JSON, PDF) de un proceso, incluso si ese proceso intenta mentir a la pila de red de Chrome sobre su origen.
  • Los recursos etiquetados con un encabezado Cross-Origin-Resource-Policy también están protegidos.
  • Datos y permisos almacenados: los procesos de representación solo pueden acceder a los datos almacenados (p. Ej., LocalStorage) o permisos (p. Ej., Micrófono) según el bloqueo del sitio del proceso.
  • Mensajes de origen cruzado: el proceso del navegador de Chrome puede verificar el origen de los mensajes postMessage y BroadcastChannel, evitando que el proceso de representación mienta sobre quién envió el mensaje.

Además, Google está en desarrollo para mejorar las protecciones de renderizado comprometidas existentes al agregar defensas CSRF y proteger tipos de datos adicionales de forma predeterminada mediante el bloqueo de lectura de origen cruzado. También está trabajando para eliminar los casos donde las protecciones planificadas aún no se han aplicado.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.