Mozilla anunció el martes que ahora se puede obtener una vista previa de un esfuerzo de varios años para reforzar las defensas de Firefox en las versiones Nightly y Beta del navegador.
Das im Februar 2019 als „Project Fission“ gestartete Projekt bezog sich auch auf die eher beschreibende „Site-Isolation“, eine Abwehrtechnologie, bei der ein Browser jeder Domain oder sogar jeder Website separate Prozesse zuweist und in einigen Fällen unterschiedliche Prozesse zuweist. an Site-Komponenten wie Iframes, sodass sie getrennt vom Prozess gerendert werden, der die gesamte Site verwaltet. Die Idee besteht darin, bösartige Websites und Komponenten sowie den von ihnen gehosteten Angriffscode zu isolieren, sodass eine Website keine unbekannte oder noch nicht behobene Sicherheitslücke ausnutzen und dann wichtige Informationen aus dem Browser, dem Gerät oder dem Gerätespeicher plündern kann. Zu diesen Informationen können Authentifizierungsinformationen, vertrauliche Daten und Verschlüsselungsschlüssel gehören. „Die Site-Isolation basiert auf einer neuen Sicherheitsarchitektur, die aktuelle Schutzmechanismen erweitert, indem sie (Web-)Inhalte trennt und jede Site in ihrem eigenen Betriebssystemprozess lädt“, schrieb Anny Gakhokidze, leitende Plattformingenieurin, in einem Artikel über den Mozilla-Hack vom 18. Mai Website. „Um Ihre privaten Daten vollständig zu schützen, muss ein moderner Webbrowser nicht nur Schutz auf Anwendungsebene bieten, sondern auch den Speicherplatz verschiedener Websites vollständig trennen“, fuhr er fort.
Erinnern Sie sich an Spectre? Was ist mit Meltdown?
Site-Isolation war nichts Neues, als Mozilla sie vor zwei Jahren einführte. Der Begriff wurde Ende 2017 von Google verwendet, als das Unternehmen begann, über neue Verteidigungsfunktionen zu sprechen, die es Chrome hinzufügen und die erste Iteration der Technologie implementieren würde. Obwohl das in Mountain View, Kalifornien, ansässige Unternehmen den größten Teil dieses Jahrzehnts an der Website-Isolierung gearbeitet hat, hat es die Technologie Ende 2017 zu Chrome hinzugefügt und bis Mitte 2018 gewartet, um sie für die meisten Benutzer zu aktivieren. Glücklicherweise war die Standortisolierung eine Reaktion auf Spectre und Meltdown, völlig neue Klassen von Schwachstellen, die Anfang 2018 öffentlich wurden. Die Fehler wurden in einer Vielzahl von Hardware, einschließlich PC-Prozessoren und Servern, sowie in Software gefunden , insbesondere Browser, sorgten sofort für Aufsehen und führten zu branchenweiten Abhilfemaßnahmen von Intel und Lenovo bis hin zu Microsoft und Google, deren Ingenieure Spectre entdeckten. Mozilla war wie andere Browser, die nicht von Google entwickelt wurden, gezwungen, Ad-hoc-Schutzmaßnahmen gegen Spectre und Meltdown zu entwickeln. Aber er gelobte auch, dem Beispiel von Chrome in Sachen Website-Isolierung zu folgen, auch wenn dieser Job eine „Neuarchitektur von Firefox“ erfordern würde, was offensichtlich ein großes Unterfangen sei. Derzeit startet Firefox eine feste Anzahl von Prozessen, darunter einen Hauptprozess für den Browser, acht für die Verarbeitung von Webinhalten und vier für Hilfszwecke wie Browser-Plug-ins und GPU-Vorgänge (GPUs). Bei aktivierter Site-Isolation wird jedoch jeder Site ein eigener Prozess zugewiesen, und in einigen Fällen werden Elementen auf einer Seite (in einem Fall bei Firefox war dies die Anzeigenplattform von Amazon) auch separate Prozesse zugewiesen. (Wenn die Site-Isolation aktiv ist, können Benutzer aktive Prozesse sehen, indem sie about:process in die Firefox-Adressleiste eingeben.) Vor zwei Jahren weigerte sich Mozilla, einen Zeitplan für die Veröffentlichung von Firefox mit Fission (auch bekannt als Site Isolation) festzulegen, was nur bedeutete, dass die Arbeit hart und möglicherweise langwierig sein würde. „Wir müssen Firefox neu strukturieren“, sagte Nika Layzell, die damalige technische Projektleiterin des Fission-Teams. „Spaltung ist ein gewaltiges Projekt.“ Das Bild ist jetzt etwas klarer.
Ein ungewisser Zeitplan
Mozilla hat Fission in die Betaversion von Firefox 89 integriert (sowie in die viel weniger anspruchsvolle Nightly-Version). Es erlaubte sogar „einer Untergruppe von Benutzern“ der Firefox 89-Beta die Site-Isolierung, um Feedback zur Funktionalität der Technologie zu erhalten. Dies bedeutet nicht, dass eine Sperrung der Website unmittelbar bevorsteht (die Veröffentlichung von Firefox 89 in Produktionsqualität ist für den 1. Juni, also in nur zwei Wochen, geplant). Mozillas Gakhokidze hat Firefox-Benutzer in die Warteschleife gelegt, heißt es in dem Plan des Unternehmens, ihn später in diesem Jahr auf mehr unserer Benutzer auszuweiten. Beachten Sie, was er nicht gesagt hat: Bis Ende Dezember würden alle Firefox-Benutzer Fission in die Hände bekommen. Für diejenigen, die nicht das Glück haben, dass Mozilla Fission einschaltet, gibt es eine Möglichkeit, die Technologie manuell einzuschalten. Geben Sie about:config in die Adressleiste ein, akzeptieren Sie die Warnung, geben Sie im Suchfeld auf der resultierenden Seite fission.autostart ein und drücken Sie die Eingabetaste oder die Eingabetaste. Die boolesche Eingabe sollte falsch sein. Setzen Sie es auf „true“, indem Sie ganz rechts auf das Zwei-Wege-Pfeilsymbol klicken, was ein einfaches Umschalten ist. Weitere Informationen zur Firefox-Spaltung finden Sie auf der Mozilla-Website.
<p>Copyright © 2021 IDG Communications, Inc.</p>