Se você desativar o isolamento do site no Google Chrome

Até agora, você deve ter ouvido falar sobre "Spectre", a falha de segurança ameaçada que afeta praticamente todos os processadores modernos. E com razão, uma vez que a vulnerabilidade gira em torno de aplicativos e sites mal-intencionados acessando dados de áreas onde eles realmente não deveriam. Para lidar especificamente com esse problema, os navegadores desenvolveram vários mecanismos de segurança, e uma dessas implementações específicas do Chrome é Site Isolation.

Introduzido pela primeira vez no Chrome v63 como um recurso de segurança opcional, Site Isolation agora é executado por padrão desde a versão 67. Tecnicamente falando, ele é bastante hábil em atenuar ataques de execução especulativa (nos quais o Specter é baseado) devido aos processos em área restrita usados.

Mas assim como com qualquer coisa boa, isso tem um preço - para ser específico, desempenho. Então, desativar o isolamento do site melhora a maneira como o Chrome funciona? Vale a pena o trade-off em segurança? Vamos descobrir.

Também na

O que é permitido no login do Chrome e você deve desativá-lo?

Isolamento de espectros e locais

Assim como qualquer outro navegador, o Google Chrome permite que você abra vários sites usando diferentes guias. Antes da implementação do Site Isolation, as guias eram usadas para compartilhar processos comuns - o que faz sentido, já que a duplicação de tarefas seria um desperdício de recursos do sistema. No entanto, essa é uma situação ideal para que um ataque mal-intencionado ocorra com base em um design de CPU defeituoso - o Spectre.

Microprocessadores modernos usam a execução especulativa para pré-carregar dados da memória do sistema no cache consideravelmente mais rápido da CPU, como forma de melhorar o desempenho geral. No entanto, isso oferece uma oportunidade única para o código mal-intencionado solicitar à CPU que busque dados confidenciais em seu cache, explorando processos compartilhados. Quando os dados estão no cache da CPU, ficam desprotegidos (em contraste com a memória do sistema) e podem ser facilmente roubados.

Suponha que você tenha algumas guias abertas - uma com sua conta bancária e outra com algum site aleatório. Em teoria, o último, desde que tenha intenções maliciosas, pode mergulhar no cache da CPU usado pela guia anterior e, em seguida, carregar e ler informações que vão desde detalhes de login até chaves criptográficas.

Embora seja muito difícil imaginar tal incidente ocorrendo devido ao limitado cache da CPU (que é apenas uma pequena fração comparado à memória do sistema). Em vez disso, o código mal-intencionado determina exatamente quais dados roubar, comparando a diferença entre as velocidades de acesso da CPU. Afinal, se as coisas estão mais rápidas do que o normal, isso é causado pelos dados que estão no cache da CPU já por especulação precisa.

Após a descoberta da vulnerabilidade do Spectre, os navegadores começaram a usar várias soluções alternativas (como timers de resolução mais baixa para diminuir a precisão da determinação das velocidades de acesso da CPU) para eliminar ataques direcionados. No entanto, eles não são um meio perfeito para combater ameaças baseadas em espectros, daí a razão para Isolamento de sites.

O Site Isolation, como o nome sugere, isola totalmente as guias umas das outras, criando processos separados para todos os iframes (links externos incorporados), incluindo aqueles que são comuns a outras guias. Como os processos compartilhados desempenham um papel importante para ajudar o código mal-intencionado a monitorar e ler informações de outras guias, o uso de processos independentes do Site Isolation funciona bem na mitigação dessas vulnerabilidades.

Analisando nosso exemplo anterior, com o Site Isolation ativado, o portal de sua conta bancária é executado em um processo completamente diferente e não compartilha nada semelhante à outra guia. Esse "isolamento" reduz a possibilidade de roubar informações no caso de uma violação ao mínimo.

Sobrecarga de memória aumentada

Portanto, você deve se perguntar se o Site Isolation tem um custo para o desempenho devido à memória adicional do sistema usada por cada processo independente - guia do navegador. De acordo com o Blog de segurança on-line do Google, a implementação de segurança usa até 10 a 13% mais de RAM do que se o recurso não estivesse ativo em primeiro lugar. Isso significa que você está melhor em ativá-lo.

Vamos verificar quão acurada esta figura é na prática. Sem o Site Isolation ativado, a captura de tela abaixo mostra alguns sites que usam muitos iframes semelhantes. Apenas as duas guias têm tarefas contínuas separadas, sem processos independentes para qualquer um dos iframes.

Observação: as capturas de tela são exibidas usando o Gerenciador de tarefas integrado do Chrome. Para acessá-lo, abra o menu do Google Chrome, aponte para Mais Ferramentas e clique em Gerenciador de Tarefas.

O mesmo par de guias, com Site Isolation ativado, é mostrado na próxima captura de tela. Como você pode ver, há um aumento significativo no número de processos adicionais devido aos iframes usados ​​por cada site. Além disso, processos semelhantes são divididos em dois para atenuar as chances de um ataque de execução especulativa bem-sucedido. Se você fizer as contas (desconsiderando as tarefas do Navegador e do Processo da GPU), ambos os sites acabarão usando cerca de 33% mais memória.

O uso de memória está significativamente acima do que é declarado pelo Google. No entanto, considere a figura de 10 a 13% a mais de uma média de longo prazo. Sites, e até mesmo páginas individuais, diferem no número de processos e memória exigidos de tempos em tempos. Portanto, o cenário acima pode ser considerado mais um outlier.

Independentemente disso, o Site Isolation resulta em aumentos moderados ou, neste caso, significativos na sobrecarga de memória.

Também na

Você deve usar uma frase secreta de sincronização no Chrome?

Segurança vs. Desempenho

Desabilitar o Site Isolation resulta em uma queda no uso de memória e, possivelmente, aumenta o desempenho em dispositivos de baixo custo. No entanto, o Chrome é bastante competente no gerenciamento da memória disponível suspendendo as guias não utilizadas. Considerando que o uso de memória varia drasticamente de site para site, não há resposta definitiva. Em dispositivos com alta memória do sistema, as diferenças no desempenho devem ser insignificantes.

Dica: Além disso, você também pode assumir o controle manual das guias de obstruir a memória com o uso de extensões como O Grande Descartador e O Grande Suspenso.

Mas aqui está o truque. Devido à implementação do Site Isolation, o Chrome deve suspender contramedidas pré-existentes contra ataques de Specter ao longo do tempo. Portanto, desabilitá-lo causará ainda mais exposição a ataques mal-intencionados.

Pesando os dois, as vulnerabilidades potenciais causadas pelo Specter, combinadas com o uso cada vez maior de dados pessoais, tornam a desativação do Site Isolation uma má ideia. A menos que você esteja navegando em uma máquina de baixo custo e não faça uso de dados pessoais, só então você deve considerar a possibilidade de desativar esse recurso de segurança vital.

Desabilitando o isolamento do site

Desativar o Isolamento de Site expõe seu computador a ameaças significativas de segurança. No entanto, se você quiser ir em frente e desativar o recurso, abaixo estão as etapas específicas para fazer isso.

Aviso: com o Site Isolation desativado, evite usar dados pessoais de navegação em qualquer site. O mesmo vale para armazenar informações confidenciais no Chrome, como senhas.

Etapa 1: em uma nova guia, digite chrome: // flags e pressione Enter para acessar os sinalizadores experimentais do Google Chrome.

Etapa 2: digite Site Isolation na barra de pesquisa e pressione Enter.

Etapa 3: você deve ver duas sinalizações do Google Chrome identificadas como Isolamento rigoroso de sites e Desativação de tentativas de isolamento de sites.

• Defina o sinalizador Strict Site Isolation como Desativado. Dispositivos específicos podem ter isso definido como Desativado por padrão - se esse for o caso, não faça nada.
• Defina o sinalizador de desativação de tentativa de isolamento de local para Opt-Out (não recomendado).

Em seguida, clique em Reiniciar agora para aplicar as alterações.

Etapa 5: o isolamento do site está desativado. Para verificar, digite chrome: // process-internals em uma nova guia e, em seguida, pressione Enter.

O modo de isolamento do site deve ser lido como Desativado para indicar a confirmação. Para ativar o Site Isolation posteriormente, volte e mude os sinalizadores para a forma como eram antes e reinicie o Chrome.

Também na

#cromada

Clique aqui para ver nossa página de artigos sobre cromo

Não, não vale o risco

A desativação de um recurso crítico de segurança do Chrome, como Isolamento do site, para reduzir o uso de memória não é garantida. Especialmente considerando como cada site utiliza memória de forma diferente. Portanto, qualquer ganho marginal de desempenho com o custo potencial de suas informações pessoais não deve ser buscado. Se você está lutando com o desempenho, pode sempre considerar o uso de um navegador alternativo, como o Firefox Quantum, que tem um consumo de memória muito menor em comparação ao Chrome antes de fazer qualquer coisa precipitada.