Mozilla anunció el martes que ahora se puede obtener una vista previa de un esfuerzo de varios años para reforzar las defensas de Firefox en las versiones Nightly y Beta del navegador.
Lanserades som "Project Fission" i februari 2019, projektet var också relaterat till mer beskrivande "site isolation", en defensiv teknik där en webbläsare dedikerar separata processer till varje domän eller till och med varje webbplats och i vissa fall tilldelar olika processer. till webbplatskomponenter, såsom iframes, så att de renderas separat från processen som hanterar hela webbplatsen. Tanken är att isolera skadliga webbplatser och komponenter, och attackkoden de är värd för, så att en webbplats inte kan utnyttja en okänd eller ännu oparpad sårbarhet och sedan plundra viktig information från webbläsaren, enheten eller enhetens minne. Denna information kan innefatta autentiseringsinformation, känsliga data och krypteringsnycklar. "Webbplatsisolering är baserad på en ny säkerhetsarkitektur som utökar nuvarande skyddsmekanismer genom att separera (webb)innehåll och ladda varje webbplats i sin egen operativsystemprocess", skrev Anny Gakhokidze, ledande plattformsingenjör, i en artikel om Mozilla Hack den 18 maj. Webbplats. "För att helt skydda din privata information måste en modern webbläsare inte bara ge skydd för applikationslager, utan måste också helt separera minnesutrymmet på olika webbplatser", fortsatte han.
Kommer du ihåg Spectre? Hur är det med Meltdown?
Webbplatsisolering var inget nytt när Mozilla introducerade det för två år sedan. Termen hade använts av Google i slutet av 2017, när det började prata om nya defensiva funktioner som det skulle lägga till Chrome och implementera den första iterationen av tekniken. Även om det Mountain View, Kalifornien-baserade företaget har arbetat med platsisolering under stora delar av detta decennium, lade det till teknologin i Chrome i slutet av 2017 och väntade till mitten av 2018 för att slå på den för de flesta användare. Lyckligtvis var webbplatsisoleringen ett svar på Spectre och Meltdown, helt nya klasser av sårbarheter som blev offentliga i början av 2018. Bristerna, som har hittats i ett brett utbud av hårdvara, inklusive PC-processorer och servrar, såväl som i programvara , särskilt webbläsare, orsakade en omedelbar sensation och en branschomfattande begränsningsansträngning av alla från Intel och Lenovo till Microsoft och Google, vars ingenjörer var de som upptäckte Spectre. Mozilla, liksom andra webbläsare som inte designats av Google, tvingades skapa ad hoc-försvar mot Spectre och Meltdown. Men han lovade också att följa Chromes ledning när det gäller isolering av webbplatser, även om det här jobbet krävde att "ombygga Firefox", uppenbarligen ett stort åtagande. För närvarande lanserar Firefox ett fast antal processer, inklusive en huvudprocess för webbläsaren, åtta för hantering av webbinnehåll och fyra för verktygsändamål som webbläsarplugin-program och GPU-operationer (GPU). Men med webbplatsisolering aktiverad tilldelas varje webbplats sin egen process, och i vissa fall tilldelas också element på en sida (i ett fall på Firefox var detta Amazons annonsplattform) separata processer. (När webbplatsisolering är aktiv kan användare se aktiva processer genom att skriva about:process i Firefox adressfält.) För två år sedan vägrade Mozilla att sätta en tidslinje för lanseringen av Firefox med Fission (även känd som Site Isolation), vilket bara innebar att arbetet skulle bli hårt och möjligen långt. "Vi måste bygga om Firefox", sa Nika Layzell, Fission-teamets tekniska projektledare vid den tiden. "Fission är ett enormt projekt." Bilden är lite tydligare nu.
En osäker tidslinje
Mozilla integrerade Fission i Firefox 89 beta (liksom den mycket mindre sofistikerade Nightly-versionen). Det tillät till och med webbplatsisolering för "en undergrupp av användare" av Firefox 89 Beta i ett försök att få feedback om teknikens funktionalitet. Detta betyder inte att en webbplatslåsning är nära förestående (Firefox 89 i produktionsgrad är planerad att lanseras den 1 juni, om bara två veckor). Mozillas Gakhokidze har satt Firefox-användare på is, säger företagets plan som rullas ut till fler av våra användare senare i år. Notera vad han inte sa, att alla Firefox-användare skulle få tag på Fission i slutet av december. För dem som inte har turen att få Mozilla att slå på Fission, finns det ett sätt att manuellt slå på tekniken. Skriv about:config i adressfältet, acceptera varningen och i sökrutan på den resulterande sidan skriver du fission.autostart och trycker på Enter eller Retur. Den booleska inmatningen ska vara falsk. Ställ in den på sant genom att klicka på tvåvägspilikonen längst till höger, vilket är en enkel växling. Mer information om Firefox fission finns på Mozillas webbplats.
<p>Copyright © 2021 IDG Communications, Inc.</p>