Mozilla heeft een nieuw project aangekondigd dat Firefox moet beschermen tegen Spectre-achtige aanvallen, alsmede onbekende kwetsbaarheden. Project Fission is te vergelijken met de Site Isolation-feature van Google Chrome en zorgt ervoor dat de inhoud van elke geopende website in een apart proces wordt gerenderd, geïsoleerd van andere websites.
Via de Spectre-aanval is het mogelijk om via kwaadaardige JavaScript vertrouwelijke informatie van systemen te stelen, zoals in de browser of een wachtwoordmanager opgeslagen wachtwoorden, cookies en encryptiesleutels. Na de onthulling van Spectre vorig jaar kwam Mozilla met een Firefox-update om gebruikers tegen deze specifieke aanval te beschermen.
"Deze oplossingen kunnen ons mogelijk niet beschermen als er andere kwetsbaarheden worden gevonden die hetzelfde onderliggende probleem misbruiken van het delen van processen tussen verschillende domeinen, waarvan sommige kwaadaardig zijn", aldus Mozilla-engineer Nika Layzell. De engineer stelt dat Mozilla niet alleen een browser wil ontwikkelen die tegen bekende kwetsbaarheden beschermt, maar ook over lagen en een ingebouwde verdediging beschikt tegen potentieel toekomstige kwetsbaarheden. Hiervoor moet de architectuur van Firefox echter worden aangepast.
Mozilla is het afgelopen jaar bezig geweest met het fundament van Fission, dat de komende weken en maanden verder in de browser zal worden verwerkt. De eerste mijlpaal staat gepland voor eind februari, waarbij de basis voor "out-of-process iframes" aan de browser zal worden toegevoegd. Site Isolation is sinds juli in Chrome aanwezig. Een nadeel van deze maatregel is wel dat het geheugengebruik met 10 tot 13 procent kan toenemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.