Mozilla anunció el martes que ahora se puede obtener una vista previa de un esfuerzo de varios años para reforzar las defensas de Firefox en las versiones Nightly y Beta del navegador.
Lanciato come "Project Fission" nel febbraio 2019, il progetto era anche legato al più descrittivo "site isolation", una tecnologia difensiva in cui un browser dedica processi separati a ciascun dominio o addirittura a ciascun sito Web e, in alcuni casi, assegna processi diversi . ai componenti del sito, come gli iframe, in modo che vengano renderizzati separatamente dal processo che gestisce l'intero sito. L'idea è quella di isolare siti e componenti dannosi e il codice di attacco che ospitano, in modo che un sito non possa sfruttare una vulnerabilità sconosciuta o non ancora risolta e quindi saccheggiare il browser, il dispositivo o la memoria del dispositivo di informazioni critiche. Queste informazioni possono includere informazioni di autenticazione, dati sensibili e chiavi di crittografia. "L'isolamento dei siti si basa su una nuova architettura di sicurezza che estende gli attuali meccanismi di protezione separando i contenuti (web) e caricando ciascun sito nel proprio processo di sistema operativo", ha scritto Anny Gakhokidze, ingegnere capo della piattaforma, in un articolo del 18 maggio sul Sito di Mozilla Hacks. "Per proteggere completamente le tue informazioni private, un browser web moderno non deve solo fornire protezione a livello di applicazione, ma deve anche separare completamente lo spazio di memoria di diversi siti", ha continuato.
Ti ricordi Spettro? E il Meltdown?
L'isolamento del sito non era una novità quando Mozilla lo introdusse due anni fa. Il termine era stato utilizzato da Google alla fine del 2017, quando iniziò a parlare di nuove funzionalità difensive da aggiungere a Chrome e implementare la prima iterazione della tecnologia. Sebbene l’azienda di Mountain View, California, abbia lavorato sull’isolamento dei siti per gran parte di questo decennio, ha aggiunto la tecnologia a Chrome alla fine del 2017 e ha aspettato fino alla metà del 2018 per attivarla per la maggior parte degli utenti. Fortunatamente, l'isolamento del sito è stato una risposta a Spectre e Meltdown, classi di vulnerabilità completamente nuove rese pubbliche all'inizio del 2018. I difetti, che sono stati riscontrati in un'ampia gamma di hardware, inclusi processori e server per PC, nonché in software , in particolare i browser, ha suscitato scalpore immediato e uno sforzo di mitigazione a livello di settore da parte di tutti, da Intel e Lenovo a Microsoft e Google, i cui ingegneri sono stati quelli che hanno scoperto Spectre. Mozilla, come altri browser non progettati da Google, è stato costretto a creare difese ad hoc contro Spectre e Meltdown. Ma si è anche impegnato a seguire l'esempio di Chrome in termini di isolamento dei siti, anche se questo lavoro richiederebbe una "riprogettazione di Firefox" - ovviamente un'impresa importante. Attualmente, Firefox avvia un numero fisso di processi, incluso un processo principale per il browser, otto per la gestione dei contenuti Web e quattro per scopi di utilità come plug-in del browser e operazioni della GPU. Tuttavia, con l'isolamento del sito abilitato, a ogni sito viene assegnato il proprio processo e in alcuni casi agli elementi di una pagina (in un caso in Firefox, questa era la piattaforma pubblicitaria di Amazon) vengono assegnati anche processi separati. (Quando l'isolamento del sito è attivo, gli utenti possono visualizzare i processi attivi digitando about:process nella barra degli indirizzi di Firefox.) Due anni fa, Mozilla si rifiutò di fissare una tempistica per il rilascio di Firefox con Fission (noto anche come Site Isolation), il che implicava solo che il lavoro sarebbe stato arduo e forse lungo. "Dobbiamo riprogettare Firefox", ha affermato Nika Layzell, all'epoca responsabile del progetto tecnico per il team Fission. "La fissione è un progetto enorme." Adesso l’immagine è un po’ più chiara.
Una tempistica incerta
Mozilla ha integrato Fission nella versione beta di Firefox 89 (così come nella versione Nightly, molto meno sofisticata). Ha persino consentito l'isolamento del sito a "un sottoinsieme di utenti" di Firefox 89 Beta nel tentativo di ottenere feedback sulla funzionalità della tecnologia. Ciò non significa che l'isolamento del sito sia imminente (il rilascio di Firefox 89 di livello produttivo è previsto per il 1 giugno, a sole due settimane di distanza). Gakhokidze di Mozilla ha messo in pausa gli utenti di Firefox, afferma che il piano dell'azienda è di estenderlo a un maggior numero di utenti entro la fine dell'anno. Da notare quello che non ha detto, ovvero che tutti gli utenti di Firefox avranno Fission nelle loro mani entro la fine di dicembre. Per coloro che non sono abbastanza fortunati da far sì che Mozilla attivi Fission, c'è un modo per attivare manualmente la tecnologia. Digita about:config nella barra degli indirizzi, accetta l'avviso e nella casella di ricerca nella pagina risultante digita fission.autostart e premi Invio o A capo. L'input booleano dovrebbe essere falso. Impostalo su true facendo clic sull'icona della freccia bidirezionale all'estrema destra, che è un semplice interruttore. Puoi trovare ulteriori informazioni sulla fissione di Firefox sul sito web di Mozilla.
<p>Copyright © 2021 IDG Communications, Inc.</p>