Google active la fonctionnalité "Isolation de site" par défaut pour les utilisateurs de Google Chrome

Google a activé par défaut une fonctionnalité de sécurité appelée "Isolation du site" dans son navigateur Web avec la version de Chrome 67 pour tous les utilisateurs de bureau afin de les protéger contre de nombreuses menaces en ligne, notamment les attaques Spectre et Meltdown

L’isolation du site est une fonctionnalité du navigateur Web Google Chrome qui ajoute une limite de sécurité supplémentaire entre les sites Web en garantissant que les différents sites sont toujours placés dans des processus distincts, isolés les uns des autres.

Étant donné que chaque site du navigateur dispose de son propre processus en mode bac à sable, la fonctionnalité empêche les sites Web non autorisés d’accéder ou de dérober des informations sur vos comptes sur d’autres sites Web.

En janvier dernier, lorsque les chercheurs de Google Project Zero ont dévoilé les vulnérabilités des processeurs Specter et Meltdown, le géant de la technologie a recommandé aux utilisateurs de Chrome d’activer manuellement la fonction d’isolation du site sur leurs périphériques pour limiter les attaques latérales spéculatives.

"Même si une attaque Specter devait survenir sur une page web malveillante, les données d’autres sites ne seraient généralement pas chargées dans le même processus, et il y aurait donc beaucoup moins de données disponibles pour l’attaquant", explique Charlie Reis, ingénieur chez Google. article de blog .

"Cela réduit considérablement la menace posée par Spectre."

Suite à la découverte de diverses variantes et sous-variantes de Spectre, Google a désormais activé par défaut cette fonctionnalité de sécurité pour 99% des utilisateurs de Chrome sur Windows, Mac, Linux et Chrome OS.

Compte tenu de la portée étendue de ce nouveau changement, la société maintient une retenue de 1%, pour l’instant, pour surveiller et améliorer la performance.

Google étudie également les moyens d’étendre la fonctionnalité d’isolation du site à Chrome pour Android, sa plate-forme mobile « lorsqu’il existe d’autres problèmes connus », mais les utilisateurs d’Android peuvent activer la fonctionnalité manuellement.

« Les stratégies d’entreprise expérimentales pour l’activation de l’isolation du site seront disponibles dans Chrome 68 pour Android et peuvent être activées manuellement sur Android à l’aide de chrome : // flags / # enable-site-per-process », a déclaré l’entreprise.

Étant donné que les navigateurs autorisent généralement les pages à intégrer des images et des scripts à partir de n’importe quel site, Google a également ajouté un mécanisme appelé CORB (Cross-Origin Read Blocking) à la fonction d’isolation du site. l’autorisation d’accéder aux ressources sélectionnées à partir d’un serveur d’origine différente. "

"En outre, Site Isolation offre également une meilleure protection contre un certain type de bug de sécurité de navigateur Web, appelé" cross-site scripting "(UXSS)", a déclaré Google.

"Les bogues de sécurité de ce formulaire permettent normalement à un attaquant de contourner la politique de même origine dans le processus de rendu, bien qu’ils ne permettent pas à l’attaquant de contrôler complètement le processus."

Il convient de noter que les processus supplémentaires générés par Site Isolation peuvent entraîner l’utilisation de plus de mémoire par Chrome, mais Google promet d’optimiser ce comportement pour que son navigateur reste rapide.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 26 |

Actu en image