Clicky

Firefox comienza a implementar la función de seguridad 'aislamiento de sitios'

Site Isolation en Firefox

Dificulta que un dominio malicioso acceda a la información ingresada en un dominio diferente

Mozilla ha comenzado a implementar una nueva función de seguridad para su navegador Firefox en canales Nightly y beta que tiene como objetivo proteger a los usuarios contra una nueva clase de ataques maliciosos de canal lateral de sitios.

Denominada "Aislamiento del sitio (Site Isolation en inglés)", la implementación carga cada sitio web por separado en su propio proceso de sistema operativo y, como resultado, evita que el código no confiable de un sitio web malicioso acceda a información confidencial almacenada en otros sitios.

"Este rediseño fundamental de la arquitectura de seguridad de Firefox amplía los mecanismos de seguridad actuales al crear límites a nivel de proceso del sistema operativo para todos los sitios cargados en Firefox para escritorio", dijo Mozilla en un comunicado. "Aislar cada sitio en un proceso de sistema operativo separado hace que sea aún más difícil para los sitios maliciosos leer los datos secretos o privados de otro sitio".

La motivación para el aislamiento del sitio se remonta a enero de 2018, cuando se revelaron públicamente las vulnerabilidades de Spectre y Meltdown, que obligaron a los proveedores de navegadores y fabricantes de chips a incorporar defensas para neutralizar los ataques que podrían romper los límites entre diferentes aplicaciones y permitir que un adversario lea contraseñas, claves de cifrado y otra información valiosa directamente desde la memoria del kernel de una computadora.

Es preocupante que estos ataques de canal lateral de sincronización se puedan lanzar de forma remota a través de sitios web que ejecutan código JavaScript malicioso, lo que requiere que los fabricantes de navegadores, incluido Mozilla, ofrezcan mitigaciones al reducir la precisión de las funciones de medición del tiempo. Sin embargo, los parches actuales para Spectre han sido una mera "curita" y no ofrecen protección contra todas las variantes teóricas de los ataques.

proceso de Site Isolation en Firefox

"A pesar de las mitigaciones de seguridad existentes, la única forma de proporcionar las protecciones de memoria necesarias para defenderse de ataques tipo Spectre es confiar en las garantías de seguridad que vienen con el aislamiento de contenido de diferentes sitios utilizando la separación de procesos del sistema operativo", dijo Anny Gakhokidze de Mozilla.

Así comenzó la iniciativa de Mozilla para el aislamiento de sitios en abril de 2018 bajo el nombre de Project Fission. Si bien la arquitectura actual de Firefox permite que el proceso "principal" privilegiado genere ocho procesos de contenido web, también podría abrir la puerta a un escenario en el que dos sitios web completamente diferentes terminen en el mismo proceso y, por lo tanto, compartan la memoria del proceso, lo que pone a los sitios web legítimos en riesgo de ataques de ejecución especulativa.

Esto también significa que una página web que viene incrustada con múltiples subtramas de diferentes sitios (por ejemplo, espacios publicitarios en páginas web) compartirá la misma memoria de proceso, lo que a su vez permite que un sitio de nivel superior obtenga secretos de un subtrama incrustado al que no debería tener acceso en primer lugar, y viceversa.

Aquí es donde entra en juego Site Isolation. Carga cada sitio web en su propio proceso, sin mencionar los que están incrustados en la página, y aísla su memoria entre sí, lo que dificulta que un dominio malicioso acceda a la información ingresada en un dominio diferente.

Además de fortalecer la seguridad de Firefox al ofrecer separación de procesos a nivel de sistema operativo para cada sitio, también se espera que Site Isolation brinde otros beneficios de rendimiento, incluido el uso eficiente del hardware subyacente y la estabilidad mejorada, ya que un subcuadro o un bloqueo de pestañas ya no afectarán a otros sitios web o procesos.

Los usuarios que ejecutan compilaciones de Firefox Nightly pueden habilitar la función navegando a "about:preferences#experimental" y marcando la casilla de verificación "Fission (Site Isolation)". Aquellos en Firefox Beta pueden hacerlo dirigiéndose a "about: config" y configurando "fission.autostart" en "true".

Jesus_Caceres