Clicky

Google habilita de forma predeterminada la función 'Aislamiento del sitio' para los usuarios de Chrome Desktop

Aislamiento del sitio en Chrome

Agrega un límite de seguridad adicional entre los sitios web

Google ha habilitado de forma predeterminada una característica de seguridad llamada "Aislamiento del sitio" en su navegador web con el lanzamiento de Chrome 67 para todos los usuarios de escritorio para ayudarlos a protegerse contra muchas amenazas en línea, incluido el ataque Spectre y Meltdown.

El aislamiento del sitio es una característica del navegador web Google Chrome que agrega un límite de seguridad adicional entre los sitios web al garantizar que los diferentes sitios siempre se coloquen en procesos separados, aislados unos de otros.

Como cada sitio del navegador obtiene su propio proceso de espacio aislado, la función dificulta que los sitios web que no son de confianza accedan o roben la información de las cuentas en otros sitios web.

En enero de este año, cuando los investigadores de Google Project Zero revelaron detalles de las vulnerabilidades de la CPU de Spectre y Meltdown, el gigante tecnológico recomendó a los usuarios de computadoras de escritorio Chrome activar manualmente la función Aislamiento de sitios en sus dispositivos para mitigar los ataques especulativos de canales laterales.

"Incluso si ocurriera un ataque de Spectre en una página web maliciosa, los datos de otros sitios web generalmente no se cargarían en el mismo proceso, por lo que habría menos datos disponibles para el atacante", explica el ingeniero de Google Charlie Reis en una entrada en el blog. "Esto reduce significativamente la amenaza planteada por Spectre".

Tras el descubrimiento de diversas variantes y subvariantes de Spectre, Google ha habilitado de forma predeterminada esta característica de seguridad para el 99% de los usuarios de escritorio de Chrome en Windows, Mac, Linux y Chrome OS.

Dado el amplio alcance de este nuevo cambio, la compañía mantiene un 1 por ciento de retención, por ahora, para monitorear y mejorar el rendimiento.

Strict site isolation

Google también está investigando formas de extender la función de Aislamiento del sitio a Chrome para Android, su plataforma móvil "donde hay problemas conocidos adicionales", pero los usuarios de Android pueden habilitar la función de forma manual.

"Las políticas empresariales experimentales para habilitar el Aislamiento del sitio estarán disponibles en Chrome 68 para Android, y se pueden habilitar manualmente en Android usando chrome://flags/#enable-site-per-process", dijo la compañía.

Dado que los navegadores generalmente permiten que las páginas incrusten imágenes y scripts desde cualquier sitio, Google también ha agregado un mecanismo denominado Bloqueo de lectura de origen cruzado (CORB) a la función Aislamiento del sitio que "indica al navegador que permita que una aplicación web en un origen (dominio) tenga permiso para acceder a los recursos seleccionados desde un servidor en un origen diferente".

"Además, Site Isolation también ofrece más protección contra un cierto tipo de error de seguridad del navegador web, llamado scripts universales de sitios cruzados (UXSS)", dijo Google. "Los errores de seguridad de esta forma normalmente permitirían a un atacante eludir la Política de Mismo Origen dentro del proceso de renderizado, aunque no le dan al atacante control total sobre el proceso".

Cabe señalar que los procesos adicionales generados por el Aislamiento del sitio podrían hacer que Chrome use más memoria, pero Google promete optimizar este comportamiento para mantener su navegador rápido.

Jesus_Caceres