Firefox представил новую архитектуру безопасности браузера с изоляцией сайтов

[Azirel]

Очень надеюсь, что эта "фича" будет отключаемой, потому что плодить по процессу на сайт - это адище, а атаки типа Spectre меня вообще не волнуют за крайней трудностью исполнения.

[dartraiden]

атаки типа Spectre меня вообще не волнуют за крайней трудностью исполнения.

Эксплоиты уже существуют и наверняка используются в «дикой природе»
xakep.ru/2021/03/02/spectre-exploit

новый эксплоит для Spectre может быть модулем для пентестерского инструмента CANVAS, разработанного Immunity Inc.

Взломанная версия которого уже давно гуляет в паблике.

[Yoskaldyr]

Тоже очень на это надеюсь что это будет отключаемая "полезная фича".

[kkslider]

Посайтовая изоляция слишком сильно влияет на производительность, куда интереснее было бы сделать изоляцию по группам сайтов — что-то вроде Tree Style Tabs, но для RAM.
Впрочем, контейнерная изоляция вроде бы и так уже есть, просто ей мало кто пользуется.

[Kanut]

Или хотя бы просто возможность указывать какие сайты изолировать, а какие нет. То есть я бы сказал что по хорошему ± 99% открываемых сайтов у меня «проходные» и абсолютно некритичные.

[Yoskaldyr]

В последнее время кажется что фокс идет явно куда-то не туда. То очень спорный протон, то вот это. Просто вангую что после появления протона в стабильной ветке процент пользователей фокса на винде резко уменьшится.

После такого начинаешь верить в засланных казачков, засланных специально для уменьшения доли фокса.

[qw1]

К счастью, протон пока выключается, что я сразу и сделал. Что будет дальше… Видимо, придётся привыкать.

[Yoskaldyr]

я то тоже выключил, но это хватит на год в лучшем случае, потом гарантированно старый режим выпилят :(
Я понимаю что новый диз неплохо может смотреться под некоторыми оболочками в линуксе и может в макосе, но вот под виндой (а это очень большая часть пользователей фокса) новые табы — это просто кровь из глаз.

[Num]

Ещё бы хоть какую-нибудь изоляцию завезли на андроид, было бы прекрасно.

[fedorro]

Например, у пользователя открыто два сайта:

Например, у пользователя открыто две сотни сайтов… :)

[GospodinKolhoznik]

Радикальное решение - браузер без вкладок. Один браузер - один сайт.

[Areso]

Всё новое — хорошо забытое старое.
Или еще не забытое?)

[K0styan]

Причём свой для каждого сайта!

[qw1]

Какая-то ерунда написана.
Spectre/Meltdown позволяют читать физическую память, к которой у юзер-кода нет доступа. Память ядра и чужих процессов.

Тут цель разработчиков скорее защита от классических эксплуатаций, типа переполнения буфера или use-after-free. Когда атакующий запускает свой код, но у него нет привилегий что-то сделать в системе.

[Revertis]

Они позволяют читать любую память. И похоже, что чаще это память своего процесса. Или нет?

[qw1]

Память своего процесса и так можно прочитать, без обращения к уязвимостям.

[Revertis]

Прямо из скрипта на JS, что ли?

[netch80]

Переключение процесса в ОС может быть сделано — и уже делается — со сбросом всех кэшей, что сильно затрудняет получение данных из чужого процесса.
Сделать то же самое в пределах одного процесса — может просто ОС не позволить.

[Mur81]

Странно, мне казалось, что смысл атак Meltdown/Spectre заключается как раз в том, что можно получить доступ к какой угодно памяти, в т.ч. памяти другого процесса. Разве нет?

[zarfaz]

Мне показалось, что это была аналогия, которая допускает подобные атаки на память браузера по схожему принципу.

[dsoastro]

можно чувстительные сайты (банковские) запускать в отдельном процессе через firejail, и, например, не давать им доступ к диску. Тогда браузер всегда как будто с нуля запускается. Например, так

firejail --private --dns=8.8.8.8 chromium-browser -no-remote >/dev/null 2>&1 &

[ifap]

Теперь под каждый сайт будет создаваться свой отдельный процесс операционной системы.

Почему-то у меня возникает дежавю, как будто я это слышал уже в исполнении и Мозилла, и Гугля, причем не один раз… Или теперь речь идет о еще более отдельном процессе?

[dartraiden]

В Firefox этого точно не было (точнее, было всё это время в ночнушках). Сейчас в Firefox несколько процессов (например, отдельный для рендеринга видео), но в пределах 10, обычно. Дежа вю, возможно, от самой идеи многопроцессности (к которой Firefox пришёл позже всех) и от фич типа cache partitioning (каждому домену свой кэш, чтобы сайты не могли обнюхивать весь кэш и делать выводы об истории посещений).

В Chrome, вроде бы, да, каждая вкладка в отдельном процессе.

[ifap]

Так обещать — не значит жениться: я не утверждал, что было, но уже слышал, что это будет ;)

[Akuma]

Да, тоже подобное читал, причем лет так 5-6 назад.

[honor8]

Есть настройка открытия сайтов в раздельных контейнерах (изолированных окружений не приватного режима). Для управления списком сайтов внутри контейнера есть дополнение Multi-Account Containers.

user_pref("privacy.userContext.enabled", true);

[AZTECLei]

Разве хром не так работает?

[psydvl]

Бедный мой ноутбук с 4гб оперативной памяти...

[Areso]

если SSD есть, то еще куда не шло, файл подкачки и вперёд. А вот со слабым процессором, у меня ноут откровенно вешается (Intel Celeron 2955u и 8 гигов RAM).

[Ingulf]

Эта многопроцессорная архитектура позволяла Firefox разделять более сложный или менее надёжный код на отдельные процессы

ну вот только не многопроцессорная, речь же о процессах

в остальном открытие сайта равносильно открытию отдельного приложения, чудесно, с учетом подгружаемых внутрь сторонних страниц — так совсем интересно, похоже эра мобилок и ноутбуков прошла, нам снова нужны ПК…

интереснее имхо было бы переизобрести докер и запускать сайты изолированно друг от друга и от системы в целом, а желательно и каждое приложение так запускать

[Yoskaldyr]

На слабом железе очень заметно :(

[pansa]

А в чем проблема плодить процессы на вкладку? Общие библиотеки всё равно будут расшарены и память займут в единственном экземпляре, а память под отдельные вкладки сколько занимала, столько и будет, без разницы — в отдельном процессе или в треде, внутри одного. Топящие, что "всё будет тормозить" могут привести технические обоснования ?

[Yoskaldyr]

Мне не нужно себе что-то обосновывать, когда я вижу разницу в скорости работы и в потреблении памяти. Еще раз повторюсь, что очень заметно на слабом железе и при большом количестве открытых вкладок. При отключенной этой фиче еще более менее норм, при включенной — работать уже нельзя. Конечно когда открыто вкладок 10, то разницы никакой. Не знаю с чем это связано, с приоритезацией каждого процессе в системе или еще с чем — это уже не ко мне. Но факт остается фактом, что этот подход работает медленнее, по крайней мере под клиентской виндой. Абсолютно тоже самое со всеми хромиум подобными браузерами — куча вкладок равно гарантированные тормоза.

Я не специалист по внутренностям винды, и может это все зависит от каких-то настроек, но по личному опыту клиентская винда не очень хорошо работает с очень большим количеством фоновых процессов.

[pansa]

Но факт остается фактом, что этот подход работает медленнее

Понял вас. Mozilla не знает, что делает. Вопросов более не имею.

[Yoskaldyr]

В их заявлениях нет ни слова насчет скорости. Везде только безопасность упоминается. Так что мои слова не противоречат заявлениям Мозиллы.
Все что я написал справедливо для клиентской десятки. И если погуглить то я не одинок с этой проблемой.

[pansa]

Да пожалуйста-пожалуйста, я же не отговариваю вас. Мне было интересно узнать, в чем именно проблема, т.к моего понимания технической части, а также объективных предположений, что M скорее убьется, чем затормозит браузер, не хватает, чтобы объяснить тормоза. Поэтому я спросил за обоснование. Если у кого-то хорошо воспроизводится и он хочет изучить вопрос — мне было бы интересно. Только и всего. Обосновывать самому-себе я вам не предлагал, простите.

[Yoskaldyr]

а также объективных предположений, что M скорее убьется, чем затормозит браузер, не хватает, чтобы объяснить тормоза.

после выхода версии 89 я уже ничему не удивлюсь. Такой треш надо было уметь выпустить во первых, и так еще надо уметь игнорить любые баг репорты и закрывать как not a bug / wontfix. Так что не стоит удивляться любому трешу от мозиллы сейчас. Учитывая что доходы руководства мозиллы растут из года в год, а пользовательская база только падает.