Skulle du deaktivere webstedsisolering i Google Chrome

På nuværende tidspunkt har du helt sikkert hørt om 'Spectre', den ildevarslende kaldte sikkerhedsfejl, der påvirker næsten alle moderne CPU'er. Og med rette, da sårbarheden drejer sig om uheldige applikationer og websteder, der får adgang til data fra områder, hvor de virkelig ikke burde. For at tackle dette problem specifikt har browsere udviklet forskellige sikkerhedsmekanismer, og en sådan Chrome-specifik implementering er Site Isolation.

Først introduceret i Chrome v63 som en valgfri sikkerhedsfunktion, Site Isolation kører nu som standard siden version 67. Teknisk set er det ganske dygtigt til at afbøde spekulative eksekveringsangreb (som Specter er baseret på) på grund af de sandkasseprocesser, den bruger.

Men ligesom med noget godt, kommer det til en pris - for at være specifik, ydeevne. Så ville deaktivering af webstedsisolering forbedre, hvordan Chrome fungerer? Er det værd at udveksle i sikkerhed? Lad os finde ud af det.

Også på

Hvad er tilladt Chrome-login, og skal du deaktivere det?

Specter og stedisolering

Ligesom enhver anden browser giver Google Chrome dig mulighed for at åbne flere websteder ved hjælp af forskellige faner. Før implementering af Site Isolation, faner brugt til at dele fælles processer - hvilket er fornuftigt, da duplikering af opgaver ville være spild af systemressourcer. Det er dog en situation, der er ideel til, at der kan opstå et ondsindet angreb, der er baseret på fejlbehæftet CPU-design - Specter.

Moderne mikroprocessorer bruger spekulativ eksekvering til at indlæse data fra systemhukommelsen på den betydeligt hurtigere CPU-cache som et middel til at forbedre den samlede ydelse. Dette giver imidlertid en unik mulighed for ondsindet kode til at bede CPU'en om at hente følsomme data i sin cache ved at udnytte delte processer. Når dataene er i CPU-cachen, forbliver de ubeskyttede (i modsætning til systemhukommelsen) og kan let stjålet.

Antag, at du har et par faner åbne - den ene med din bankkonto og den anden med et tilfældigt websted. I teorien kan sidstnævnte, forudsat at det har en ondsindet hensigt, dykke ned i CPU-cachen, der bruges af den tidligere fane, og derefter indlæse og læse oplysninger, der spænder overalt fra login-detaljer til kryptografiske nøgler.

Selvom det er ret svært at forestille sig, at en sådan hændelse finder sted på grund af den begrænsede CPU-cache (som kun er en lille brøkdel sammenlignet med systemhukommelsen). Den ondsindede kode bestemmer i stedet nøjagtigt, hvilke data der skal stjæles ved at sammenligne forskellen mellem CPU-adgangshastigheder. Når alt kommer til alt, hvis tingene er hurtigere end normalt, skyldes det, at dataene allerede er i CPU-cachen af ​​nøjagtige spekulationer.

Efter opdagelse af Specter-sårbarheden begyndte browsere at bruge forskellige løsninger (f.eks. Timere med lavere opløsning for at mindske nøjagtigheden ved at bestemme CPU-adgangshastigheder) for at smide målrettede angreb fra. De er imidlertid ikke et perfekt middel til at imødegå Specter-baserede trusler, hvorfor grunden til Site Isolation.

Site Isolation, som navnet antyder, isolerer fuldstændigt faner fra hinanden ved at oprette separate processer for alle iframes (indlejrede eksterne links), inklusive dem, der er fælles for andre faner. Da delte processer spiller en stor rolle i at hjælpe ondsindet kode med at overvåge og læse information fra andre faner, fungerer Site Isolations brug af uafhængige processer godt til at afbøde sådanne sårbarheder.

Når vi ser på vores tidligere eksempel, med Site Isolation slået til, kører din bankkontoportal på en helt anden proces og deler intet, der ligner den anden fane. Denne 'isolering' reducerer muligheden for at stjæle information i tilfælde af brud til minimal.

Øget hukommelsesomkostning

Så du skal undre dig, om Site Isolation kommer til en pris for ydelsen på grund af den ekstra systemhukommelse, der bruges af hver uafhængig proces - browserfanen. I henhold til Google Online Security Blog bruger sikkerhedsimplementeringen op til 10-13% mere RAM, end hvis funktionen ikke er aktiv i første omgang. Det betyder, at du er bedre stillet ved at aktivere det.

Lad os kontrollere, hvor nøjagtigt dette tal er i praksis. Med ingen siteisolering aktiveret viser skærmbilledet nedenfor et par websteder, der bruger mange lignende iframes. Kun de to faner har separate igangværende opgaver uden uafhængige processer for nogen af ​​iframes.

Bemærk: Skærmbillederne vises ved hjælp af Chromes indbyggede Task Manager. For at få adgang til den, skal du åbne Chrome-menuen, pege på Flere værktøjer og derefter klikke på Task Manager.

Det samme par faner, hvor Site Isolation er aktiveret, vises i det næste skærmbillede. Som du kan se, er der en betydelig stigning i antallet af yderligere processer på grund af iframes, der bruges af hvert websted. Endvidere er lignende processer yderligere opdelt i to for at afbøde chancerne for et vellykket spekulativt eksekveringsangreb. Hvis du udfører matematikken (hvis du ser bort fra opgaverne Browser og GPU-processen), ender begge sider med omkring 33% mere hukommelse.

Hukommelsesforbruget er markant over det, der er anført af Google. Overvej imidlertid tallet 10-13% mere af et langsigtet gennemsnit. Websteder og endda individuelle websider adskiller sig i antallet af processer og hukommelse fra tid til anden. Derfor kan scenariet ovenfor betragtes som en mere udligger.

Uanset hvad resulterer siteisolering i moderate eller i dette tilfælde betydelige stigninger i hukommelsesomkostningen.

Også på

Bør du bruge en synkroniseret adgangskode på Chrome?

Sikkerhed vs. ydelse

Deaktivering af isolering af websted resulterer i et fald i hukommelsesforbruget og øger muligvis ydelsen på low-end-enheder. Chrome er dog ganske dygtig til at administrere tilgængelig hukommelse ved at suspendere ubrugte faner. I betragtning af at hukommelsesforbruget varierer drastisk fra sted til sted, er der intet definitivt svar. På enheder med høj systemhukommelse skal forskellene i ydelse være ubetydelige.

Tip: Derudover kan du også påtage dig selv at manuelt administrere faner fra tilstopning af hukommelse ved hjælp af udvidelser som The Great Discarder og The Great Suspender.

Men her er fangsten. På grund af implementeringen af ​​webstedsisolering formodes Chrome at droppe forudgående eksisterende modforanstaltninger mod Specter-angreb over tid. Derfor vil deaktivering af det medføre endnu større udsættelse for ondsindede angreb.

At veje de to op, de potentielle sårbarheder, der er forårsaget af Specter, kombineret med den stadigt stigende brug af personlige data, gør at slukke for Site Isolation en dårlig idé. Medmindre du surfer på en low-end maskine og ikke bruger nogen personlige data overhovedet, skal du kun overveje at deaktivere denne vigtige sikkerhedsfunktion.

Deaktivering af isolering af websted

Deaktivering af isolering af websted udsætter din computer for betydelige sikkerhedstrusler. Hvis du imidlertid ønsker at gå videre og deaktivere funktionen, er nedenunder de specifikke trin til at gøre det.

Advarsel: Når webstedsisolering er deaktiveret, skal du undlade at bruge personlige browserdata på ethvert websted. Det samme gælder for lagring af følsomme oplysninger på Chrome, som f.eks. Adgangskoder.

Trin 1: Skriv en chrome: //-flag på en ny fane, og tryk derefter på Enter for at få adgang til Chrome-eksperimentelle flag.

Trin 2: Skriv webstedsisolering i søgefeltet, og tryk derefter på Enter.

Trin 3: Du skal se to Chrome-flag mærket Strict Site Isolation og Site Isolation Trial-fravalg.

• Sæt det strenge webstedsisoleringsflag til Deaktiveret. Specifikke enheder kan have dette indstillet til Deaktiveret som standard - hvis det er tilfældet, skal du ikke gøre noget.
• Indstil markering af afprøvning af webstedets isoleringsafprøvning til fravalg (anbefales ikke).

Klik derefter på Genstart nu for at anvende ændringerne.

Trin 5: Siteisolering er nu deaktiveret. For at verificere, skriv chrome: // process-internals i en ny fane, og tryk derefter på Enter.

Site Isolation Mode skal læses som Deaktiveret for at angive bekræftelse. For at aktivere Site Isolation på et senere tidspunkt skal du gå tilbage og ændre flagene, som de var før, og genstarte Chrome.

Også på

#chrome

Klik her for at se vores kromartikelside

Nej, det er ikke værd at risikoen

Deaktivering af en kritisk Chrome-sikkerhedsfunktion såsom Site Isolation for at reducere hukommelsesforbruget er ikke berettiget. Især i betragtning af, hvordan hvert websted bruger hukommelsen forskelligt. Så eventuelle marginale præstationsgevinster til de potentielle omkostninger for dine personlige oplysninger bør ikke efterspørges. Hvis du kæmper med ydeevne, kan du altid overveje at bruge en alternativ browser såsom Firefox Quantum, der har et meget lavere hukommelsesfodaftryk sammenlignet med Chrome, før du udfører noget udslæt.