Mozilla揭露了一項大型專案Project Fission這是個全新的Firefox架構,將全面支援網站隔離(Site Isolation),期望可預防已知的安全漏洞及未來的潛在漏洞,首個里程碑版本(Milestone 1)預計於今年2月底出爐。

傳統的瀏覽器主要透過同源政策(Same Origin Policy)來隔離所造訪的不同網站,但有些惡意網站仍能藉由安全漏洞繞過該政策以攻擊另一個網站,網站隔離則可用來強化安全性,確保不同網站的網頁處於不同的程序中,每個程序都在沙箱中執行以限制其能力。

Firefox團隊解釋,衝擊現代處理器的Spectre與Meltdown漏洞是藉由CPU的最佳化技術「推測執行」來存取其它程式存放在記憶體中的機密資料,這類的攻擊對瀏覽器帶來嚴重的威脅,因為網頁通常提供在同一程序中來自不同網域 的JavaScript,將允許惡意的第三方程式碼竊取屬於其它網站的使用者資料。

儘管Firefox團隊已緩解了Spectre攻擊,但無法保證同樣可解決未來針對不同網域之共享程序所發動的攻擊,於是決定翻修Friefox的處理模型,一年前即開始打造Fission的基礎,設計全新的架構。

現在的Firefox採用簡單的程序隔離,只隔離了描繪使用者介面及描繪網路內容的程序,而Fission專案將擴大成5個隔離層,其中一個為使用者介面,另外4個則用來隔離不同的網路內容,亦允許使用者客製化內容沙箱或程序的數量。

根據Mozilla的規畫,在後Fission時代,將採用多種程序來描繪不同的子框架,意謂著每個分頁也都會擁有不同的連結程序。

Mozilla並未公布基於Fission專案之Firefox版本的上線日期,僅說在未來的幾周或幾個月將會要求Firefox的所有團隊採用新的Fission架構。除了Mozilla之外,Google已於去年5月釋出的Chrome 67預設開啟網站隔離機制,以防止Spectre攻擊。

熱門新聞

Advertisement