Firefox planira ugrađenu izolaciju veb stranica

Firefox je objavio namjeru da u budućnosti doda izolaciju veb stranica u svoj veb čitač. Ovaj projekt, nazvan Project Fission, za cilj ima poboljšanje bezbjednosti kod Firefox veb čitača. Fission će iframe elemente veb stranice izvršavati u zasebnim procesima, kako bi se spriječila eksploatacija postojećih i budućih side channel ranjivosti.

Side channel ranjivosti kao što su Spectre i Meltdown omogućavaju pristup osjetljivim podacima. Svi moderni veb čitači već su objavili ažuriranja u kojima su otklonjene ove ranjivosti, međutim veb čitači nisu zaštićeni od neotkrivenih ranjivosti koje rade na sličnom principu.

Kako bi veb stranica funkcionisala izvršava se JavaScript kod. Kako bi se stranice zaštitile od izvršavanja malicioznog koda koji može doći da sa drugih veb stranica koristi se Same Origin Policy, koji sprječava izvršenje koda ukoliko ne dolazi sa istog izvora. Trenutno se sav JavaScript kod koji je potreban veb stranici izvršava u istom procesu veb čitača i ima pristup istom memorijskom prostoru. Ovo uključuje i kod koji se nalazi u iframe  elementu. iframe (Inline Frame) je HTML element koji omogućuje da se jedna veb stranica ugradi u drugu.

Same Origin Policy sprječava direktan pristup dokumentima i resursima, međutim side channel ranjivosti ne vrše direktan pristup, već indirektno čitaju informacije. U slučaju postojanja ranjivosti koja je slična Spectre ili Meltdown, JavaScript kod sa malicioznog domena bi mogao pristupiti povjerljivim informacijama sa drugog domena. Odvajanjem koda u različite procese otežala bi se eksploatacija side channel ranjivosti.

Nika Layzell, inženjer u timu koji radi na razvoju Firefox-a, izjavila je da u pitanju masovan projekt, ali da će svi timovi unutar Firefox-a kroz par mjeseci adaptirati svoj kod kako bi bio kompatibilan sa novom arhitekturom veb čitača.

Izvor:securityweek.com