首页 >新闻 > 互联网 > 内容

这是Android Chrome网站隔离保护您的私人数据的方式

互联网 2020-06-17 10:26:27

在最近对Chrome 77进行更新之后,Google现在访问了其博客,以解释说明网站隔离在Android和台式机平台上的工作方式不同。

在桌面平台上,站点隔离通过有效地将Cookie和存储的数据(包括网络数据,密码和权限)隔离到原始站点而起作用。它还可以防止渲染器进程围绕显示给用户的消息的来源说谎。本质上,它在后台工作,以将各个站点隔离到自己的流程中。这些站点中的数据包含在这些单独的进程中。

在许多情况下,即使给定进程试图对其来源“撒谎”,该方法也有效。目标是限制从其他进程和站点访问数据。尽管最初设计它是为了抵御类似Spectre的攻击,但是它在防范各种跨站点攻击方面做得很好。特别是关于跨站点数据盗窃。

Android的主要区别在于,站点隔离仅设置为在具有登录名的站点上起作用。更直接地,Google将其设置为在用户登录网站时触发。Google旨在帮助确保最脆弱的用户数据(银行帐户信息,个人详细信息等)的安全。Google并非会不必要地将其应用于所有网站。

该公司解释说,Android设备通常更受资源限制,因此在全面启用站点隔离的情况下维护性能变得更加困难。

适用于Android的Chrome中的站点隔离的全面保护和未来计划

这家搜索巨头还概述了今后在Android上进行网站隔离的基本计划。Google希望最终将台式机Chrome中的所有相同保护功能引入Android。当前,移动设备的站点隔离涵盖了RAM超过2GB的99%用户的密码登录。只有大约百分之一的设备未激活该功能以监视性能问题。

完全隔离用户可能需要。他们只需要导航到“ chrome:// flags /#enable-site-per-process” URL并打开该标志即可。需要注意的是,将使用大量的RAM,Chrome保留在本地存储的隔离站点的列表将增长更长的时间,直到手动清除浏览器缓存和数据为止。

同时,Google正在制定计划,以增加更多方法来精确检测哪些功能需要保护哪些站点。它提供的一个示例是为站点操作员增加了选择加入。这样一来,无需登录即可添加站点隔离。

Google希望通过为漏洞发现者提供更大的奖励来推动创新

在过去几年中,Chrome的许多重大改进归结于安全研究人员的错误报告。Chrome 77和即将推出的Chrome 78更新没有什么不同。但是Google尤其注重改善网站的隔离性。

实际上,现在Google正在扩展其Chrome漏洞奖励计划,以涵盖涉及受损渲染器的跨站点数据泄露攻击。现在,站点隔离变得更加广泛,并且可以抵抗各种各样的攻击。程序扩展将使该功能通过同样严格的测试,其他功能也将继续面对。

为此,该公司表示,在“有限的时间”内,他们将对这些安全漏洞给予更高的赏金。具体来说,这些是与站点隔离有关的错误。在某些情况下,这些奖励现在将大大高于其他信息泄露错误的奖励。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。