Dovresti disabilitare l'isolamento del sito in Google Chrome

Ormai, avrai sicuramente sentito parlare di "Spectre", il difetto di sicurezza minacciosamente soprannominato che colpisce quasi tutte le CPU moderne. E giustamente, dal momento che la vulnerabilità ruota attorno a applicazioni e siti Web dannosi che accedono ai dati da aree in cui non dovrebbero davvero. Per affrontare questo problema in modo specifico, i browser hanno sviluppato vari meccanismi di sicurezza e una di queste implementazioni specifiche di Chrome è Site Isolation.

Introdotto per la prima volta in Chrome v63 come funzionalità di sicurezza opzionale, Site Isolation ora funziona di default dalla versione 67. Tecnicamente parlando, è abbastanza abile nel mitigare gli attacchi di esecuzione speculativa (su cui si basa lo Spettro) a causa dei processi sandbox che utilizza.

Ma proprio come con qualcosa di buono, ha un prezzo - per essere precisi, prestazioni. Quindi, la disabilitazione dell'isolamento del sito migliorerebbe il funzionamento di Chrome? Vale la pena il compromesso in termini di sicurezza? Scopriamolo.

Anche su

Che cos'è Consenti l'accesso a Chrome e dovresti disabilitarlo?

Spettro e isolamento del sito

Proprio come qualsiasi altro browser, Google Chrome ti consente di aprire più siti Web utilizzando schede diverse. Prima dell'implementazione di Site Isolation, le schede erano utilizzate per condividere processi comuni, il che ha senso poiché la duplicazione delle attività sarebbe uno spreco di risorse di sistema. Tuttavia, questa è una situazione ideale per un attacco dannoso basato su un design della CPU difettoso - Spectre.

I moderni microprocessori utilizzano l'esecuzione speculativa per precaricare i dati dalla memoria di sistema nella cache della CPU considerevolmente più veloce come mezzo per migliorare le prestazioni complessive. Tuttavia, ciò offre un'opportunità unica per il codice dannoso di richiedere alla CPU di recuperare i dati sensibili nella sua cache sfruttando i processi condivisi. Una volta che i dati sono nella cache della CPU, vengono lasciati non protetti (a differenza della memoria di sistema) e possono essere facilmente rubati.

Supponiamo di avere un paio di schede aperte: una con il tuo conto bancario e l'altra con un sito casuale. In teoria, quest'ultimo, a condizione che abbia intenzioni dannose, può immergersi nella cache della CPU utilizzata dalla prima scheda, quindi caricare e leggere informazioni che vanno dai dettagli di accesso alle chiavi crittografiche.

Mentre è abbastanza difficile immaginare un simile incidente in corso a causa della cache della CPU limitata (che è solo una piccola frazione rispetto alla memoria di sistema). Il codice dannoso invece determina esattamente quali dati rubare confrontando la differenza tra le velocità di accesso alla CPU. Dopotutto, se le cose sono più veloci del solito, ciò è causato dal fatto che i dati si trovano già nella cache della CPU da accurate speculazioni.

Alla scoperta della vulnerabilità dello Spettro, i browser hanno iniziato a utilizzare varie soluzioni alternative (come i timer a risoluzione più bassa per ridurre l'accuratezza della determinazione della velocità di accesso alla CPU) per lanciare attacchi mirati. Tuttavia, non sono un mezzo perfetto per contrastare le minacce basate sullo Spettro, da cui il motivo dell'isolamento del sito.

L'isolamento del sito, come suggerisce il nome, isola completamente le schede l'una dall'altra creando processi separati per tutti gli iframe (collegamenti esterni incorporati), inclusi quelli comuni ad altre schede. Poiché i processi condivisi svolgono un ruolo importante nell'aiutare il codice dannoso dal monitoraggio e dalla lettura delle informazioni da altre schede, l'utilizzo di processi indipendenti da parte di Site Isolation funziona bene nel mitigare tali vulnerabilità.

Esaminando il nostro esempio precedente, con Site Isolation attivato, il portale del tuo conto bancario viene eseguito su un processo completamente diverso e non condivide nulla di simile all'altra scheda. Questo "isolamento" riduce al minimo la possibilità di rubare informazioni in caso di violazione.

Maggiore sovraccarico di memoria

Quindi devi chiederti se l'isolamento del sito ha un costo per le prestazioni a causa della memoria di sistema aggiuntiva utilizzata da ogni processo indipendente: la scheda del browser. Secondo il blog sulla sicurezza online di Google, l'implementazione della sicurezza utilizza fino al 10-13% di RAM in più rispetto a quando la funzionalità non è attiva in primo luogo. Ciò significa che stai meglio abilitandolo.

Controlliamo quanto sia preciso questo dato nella pratica. Senza l'isolamento del sito abilitato, lo screenshot seguente mostra un paio di siti Web che utilizzano molti iframe simili. Solo le due schede hanno attività in corso separate, senza processi indipendenti per nessuno degli iframe.

Nota: le schermate vengono visualizzate utilizzando Task Manager integrato di Chrome. Per accedervi, apri il menu Chrome, seleziona Altri strumenti, quindi fai clic su Task Manager.

La stessa coppia di schede, con Site Isolation abilitato, sono mostrate nella schermata successiva. Come puoi vedere, c'è un significativo aumento del numero di processi aggiuntivi a causa degli iframe utilizzati da ciascun sito. Inoltre, processi simili sono ulteriormente suddivisi in due per mitigare le possibilità di un riuscito attacco di esecuzione speculativa. Se esegui la matematica (ignorando le attività di processo del browser e della GPU), entrambi i siti finiscono per utilizzare circa il 33% in più di memoria.

L'utilizzo della memoria è significativamente superiore a quanto dichiarato da Google. Tuttavia, considera la cifra del 10-13% in più di una media a lungo termine. I siti e persino le singole pagine Web differiscono di volta in volta per numero di processi e memoria. Quindi lo scenario sopra può essere considerato più di un valore anomalo.

Indipendentemente da ciò, Site Isolation comporta un moderato, o in questo caso, aumenti significativi dell'overhead di memoria.

Anche su

Dovresti usare una passphrase di sincronizzazione su Chrome?

Sicurezza vs. prestazioni

La disabilitazione dell'isolamento del sito comporta un calo nell'utilizzo della memoria e può aumentare le prestazioni sui dispositivi di fascia bassa. Tuttavia, Chrome è abbastanza abile nel gestire la memoria disponibile sospendendo le schede non utilizzate. Considerando che l'utilizzo della memoria varia drasticamente da un sito all'altro, non esiste una risposta definitiva. Sui dispositivi con memoria di sistema elevata, le differenze nelle prestazioni dovrebbero essere trascurabili.

Suggerimento: Inoltre, puoi anche assumerti la responsabilità di gestire manualmente le schede dall'intasamento della memoria con l'uso di estensioni come The Great Discarder e The Great Suspender.

Ma ecco il trucco. A causa dell'implementazione di Site Isolation, Chrome dovrebbe eliminare nel tempo contromisure preesistenti contro gli attacchi dello spettro. Quindi, disabilitarlo causerà ancora più esposizione ad attacchi dannosi.

Pesando le due cose, le potenziali vulnerabilità causate da Spectre, combinate con l'uso sempre crescente di dati personali, rendono una disattivazione dell'isolamento del sito una cattiva idea. A meno che tu non stia navigando su una macchina di fascia bassa e non faccia alcun uso di dati personali, solo allora dovresti anche solo considerare di disabilitare questa funzionalità di sicurezza vitale.

Disabilitazione dell'isolamento del sito

La disabilitazione dell'isolamento del sito espone il computer a significative minacce alla sicurezza. Tuttavia, se si desidera andare avanti e disabilitare la funzione, di seguito sono riportati i passaggi specifici per farlo.

Avvertenza: con l'isolamento del sito disabilitato, astenersi dall'utilizzare i dati di navigazione personali su qualsiasi sito Web. Lo stesso vale per la memorizzazione di informazioni riservate su Chrome, come le password.

Passaggio 1: in una nuova scheda, digitare chrome: // flags, quindi premere Invio per accedere ai flag sperimentali di Chrome.

Passaggio 2: digitare Site Isolation nella barra di ricerca, quindi premere Invio.

Passaggio 3: dovresti visualizzare due flag di Chrome con l'etichetta Disattivazione isolamento sito rigoroso e Disattivazione prova isolamento sito.

• Impostare il flag di isolamento del sito rigoroso su Disabilitato. Dispositivi specifici possono avere questa impostazione su Disabilitato per impostazione predefinita - in tal caso, non fare nulla.
• Impostare il flag Opt Out di prova dell'isolamento del sito su Opt-Out (non raccomandato).

Quindi fare clic su Riavvia ora per applicare le modifiche.

Passaggio 5: l' isolamento del sito ora è disabilitato. Per verificare, digitare chrome: // process-internals in una nuova scheda, quindi premere Invio.

La modalità di isolamento del sito deve essere disabilitata per indicare la conferma. Per abilitare l'isolamento del sito in un secondo momento, tornare indietro e modificare i flag come prima e riavviare Chrome.

Anche su

#cromo

Fai clic qui per vedere la nostra pagina di articoli di Chrome

No, non vale la pena rischiare

La disabilitazione di una funzionalità di sicurezza di Chrome critica come Site Isolation per ridurre l'utilizzo della memoria non è garantita. Soprattutto considerando come ogni sito utilizza la memoria in modo diverso. Pertanto, non dovrebbero essere ricercati eventuali guadagni di prestazione marginali al potenziale costo delle informazioni personali. Se hai difficoltà con le prestazioni, puoi sempre considerare l'utilizzo di un browser alternativo come Firefox Quantum che ha un ingombro di memoria molto inferiore rispetto a Chrome prima di eseguire qualsiasi attività avventata.