Ochrana proti Spectru je aktivní v 99 % instalací Chromu. Ten si žádá až o 13 % více paměti

16. 7. 2018

Sdílet

 Autor: Redakce
Kromě zlepšování bezpečnosti se v Chromu opět sešla řada důležitých vylepšení, byť se nachází pod kapotou.

Oživeno dne 16. 7. 2018

Na konci května vyšel Chrome 67, o němž jsme věděli, že díky novému zabezpečovacímu mechanismu zkonzumuje více operační paměti. Dne 11. července na svém blogu Google konkrétněji popsal, jak Site Isolation funguje. Přihodil i pár nových faktů. Podle něj už nastala vhodná doba, aby byla funkce aktivována v 99 % instalací.

Na zbylém procentu se pracuje. Vývojový tým také dále pracuje na optimalizacích, aktuálně však Chrome se zapnutou izolací stránek konzumuje o 10–13 % paměti více. To alespoň tvrdí interní čísla reklamního giganta. Oproti předešlým opatřením, která měla za cíl snížit pravděpodobnost úspěšného útoku skrze díru Spectre, Google izolaci stránek považuje za skutečně efektivní obranu.

Ve zkratce tato ochrana spočívá v tom, že každý vykreslovací proces obsahuje prvky pouze z jedné stránky. I subdomény jsou teď považovány za odlišné, podobně pokud stránka obsahuje určité prvky z jiných webů (typicky iframes), i ty se přesouvají do vlastních procesů. Ve výsledku tak režie roste. Ve Chromu je zatím ponechána možnost izolaci stránek vypnout, viz níže.

Pro počítače se 4 GB operační paměti to dobrá zpráva není, tato kapacita již byla hraniční doteď. Jenže se nedá svítit, zlepšování zabezpečení a úkor výkonu není nic nového a Google jde správným směrem, když se snaží ohlížet na bezpečnost uživatelů a uživatelek.

Původní článek ze dne 30. 5. 2018

Měsíc a půl starý Chrome 66 nabídl solidní novinky jako export hesel do souboru CSV. Dále automaticky přehrávaný obsah ponechává s vypnutým zvukem, takže už vás nepřekvapí reklamy nebo videa pouštějící se někde na pozadí. V této verzi Google zahájil veřejné testování nové bezpečnostní funkce Site Isolation. Testování se rozšiřuje ve Chromu 67, který byl čerstvě oficiálně dokončen.

Změna architektury Chromu

Jedná se o vrstvu, která by nás měla chránit mj. před útoky typu Spectre. Jde o to, aby jedna stránka v zařízení nemohla přistupovat k uživatelským datům jiné stránky. Chrome se ujistí, že různé stránky vždy běží v samostatných procesech a v sandboxech. Proč ale Google postupuje v nasazování tak opatrně?

Chrome 66 nabídl Site Isolation jen malému procentu uživatelů a uživatelek, ale ani Chrome 67 funkci neaktivuje každému. Jen se testovací okruh rozšířil. Patrně za to mohou určitá specifika novinky. V dokumentaci Google přiznává, že se jedná o zásadní změnu architektury prohlížeče.

Pokud chcete, novou architekturu zatím můžete vypnout Pokud chcete, novou architekturu zatím můžete vypnout

Pro běžného člověka je nejdůležitější, že novinka sice lépe chrání prohlížeč, jenže současně zvyšuje paměťovou náročnost prohlížeče. Je to něco za něco. Googlu se tento nárůst během vývoje podařilo zredukovat, stále si však Chrome 67 s aktivní funkcí Site Isolation řekne o zhruba 10 až 11 % paměti víc, pokud máte otevřeno mnoho stránek. Jak jsem naznačil výše, dochází k určitému navýšení počtu procesů.

Pokud je ve vaší instalaci nová architektura aktivována, ale působí problémy, můžete ji dočasně vypnout pomocí předvolby chrome://flags#site-isolation-trial-opt-out, kde zvolte Opt-out.

Senzory a progresivní webové aplikace

Chrome 67 dále opravuje 34 slabých míst zabezpečení. Pod pokličkou dále ukrývá Generic Sensor API, které aplikacím jednoduše řečeno umožňuje použít senzory v zařízení (např. akcelerometr nebo gyroskop). Toto API je důležité primárně na mobilních zařízeních. Už delší dobu mluvíme o tom, že webové aplikace pomalu začínají mít na to, aby nahrazovaly některé nativní aplikace.

ICTS24

Když už jsme u toho, Chrome OS 67 konečně podporuje progresivní webové aplikace. Na podpoře těchto aplikací ve verzi prohlížeče pro Windows a macOS se pracuje. Dále bylo zrychleno zpracování JavaScriptu, přidána podpora argumentované reality skrze WebXR Device API apod. Pokud vás zajímají technické novinky, navštivte Chromium Blog a web Google Developers.