image

Firefox Site Isolation moet tegen toekomstige Spectre-aanvallen beschermen

woensdag 19 mei 2021, 10:27 door Redactie, 7 reacties
Laatst bijgewerkt: 19-05-2021, 13:20

Mozilla gaat Firefox van een nieuwe beveiligingsmaatregel voorzien genaamd Site Isolation die gebruikers tegen toekomstige varianten van de Spectre-aanval en soortgelijke kwetsbaarheden moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen.

"Deze nieuwe beveiligingsarchitectuur zorgt ervoor dat Firefox code van verschillende sites volledig kan scheiden, en zo beschermt tegen kwaadaardige sites die gevoelige data van andere bezochte sites proberen te benaderen", zegt Anny Gakhokidze van Mozilla. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen.

Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden. Toch biedt dit volgens Gakhokidze nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere sites in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen.

Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt.

Daarnaast zal de betere scheiding ervoor zorgen dat een crashende website of tab geen invloed op websites in andere processen heeft, wat voor een betere stabiliteit en gebruikerservaring zorgt, aldus Gakhokidze. Site Isolation is nu beschikbaar in de desktopversies van Firefox Nightly, Firefox Beta en Firefox Release, maar moet nog wel door gebruikers zelf worden ingeschakeld. Volgens Gakhokidze gaat het om een "monumentale aanpassing" binnen Firefox die gebruikers tegen toekomstige varianten van Spectre moet beschermen.

Image

Reacties (7)
19-05-2021, 10:46 door Anoniem
Jammer, want voor Waterfox is na about:config "fission.autostart" gelockt, waardoor site isolation niet kan worden ingesteld. Het is maar te hopen dat een nieuwe Waterfox deze functie beschikbaar stelt.
19-05-2021, 11:20 door Anoniem
Doet Google Chrome al lang... maar ja dat mag je niet zeggen hier natuurlijk.
Ok, Microsoft Edge dan.
19-05-2021, 12:41 door Anoniem
Ja lijkt me ook goed om z.s.m. naar Tor firefox te porten.

#sockpuppet
19-05-2021, 13:18 door Spiff has left the building
Door Redactie, 10:27 uur:
Site Isolation is nu beschikbaar in de desktopversies van Firefox Nightly en Firefox Beta, maar moet nog wel door gebruikers zelf worden ingeschakeld.

Niet alleen beschikbaar in Firefox Nightly en Beta, maar zoals vermeld in de twee door de redactie gelinkte bronnen, ook in de Release versie.

Voor zowel Beta als ook Release:

Navigate to about:config.
Set 'fission.autostart' pref to 'true'.
Restart Firefox.

Ik heb Firefox Site Isolation nog niet toegepast en uitgeprobeerd, vanwege de nog vermelde Known Issues:
https://wiki.mozilla.org/Project_Fission#Known_Issues
19-05-2021, 13:45 door Anoniem
Wat men als tegenmaatregel ook kan doen is in het BIOS settings de VT-d en/of VT-x opties uit zetten. Dan wordt de hardware iets trager, en werken met Virtual Box, QEMU of KVM kan niet meer, maar dan is het uitvoeren van de genoemde Spectre-aanval, en soortgelijke exotische aanvallen op de chip architectuur, nog moeilijker uit te voeren.

https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)#Mitigation
19-05-2021, 15:57 door Anoniem
Door Anoniem: Doet Google Chrome al lang... maar ja dat mag je niet zeggen hier natuurlijk.

Waarom zeg je dit als 'Anoniem'? Je beseft toch ergens dat het gebruik van Chrome niet (lees: nooit) verstandig is?
23-05-2021, 14:26 door Anoniem
Ik denk hierbij aan extensies als Link Redirect Trace en Clear URLs voor het plaatselijk herschrijven van tracking scripts.
Ook de randomisatie van tracking zou een goede bescherming moeten bieden. Hoe doet men dat?

Is trouwens Link Redirect Trace een betrouwbare extensie?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.