Η ομάδα του Project Fission της Mozilla ετοιμάζεται να εφαρμόσει ένα νέο χαρακτηριστικό ασφάλειας στον Firefox που θα απομονώνει τις ιστοσελίδες. Κάτι παρόμοιο χρησιμοποιεί και η Google στην έκδοση 67 του προγράμματος περιήγησης Chrome, για να μετριάσει τις side-channel επιθέσεις από κακόβουλους ιστότοπους.
Τα ελαττώματα ασφαλείας από τα οποία θέλει να προστατεύσει το ίδρυμα Mozilla τον χρήστη του Firefox με το Project Fission αναφέρθηκαν στο Project Zero της Google στις 3 Ιανουαρίου του 2018.
Οι ευπάθειες Spectre (παραλλαγές 1 και 2) και Meltdown (παραλλαγή 3) επιτρέπουν σε επιτιθέμενους να καταχραστούν τον χρόνο προσωρινής αποθήκευσης δεδομένων της CPU “για να διαρρέουν πληροφορίες.”
Τα κενά ασφαλείας που αναφέρθηκαν παραπάνω επιδιορθώθηκαν άμεσα από τις ομάδες ασφαλείας του του Firefox, αλλά παρατηρήθηκε ότι με νέες επιθέσεις μέσω άλλων καναλιών (side-channels) μπορεί να επηρεάσουν τους χρήστες του Firefox όταν επισκέπτονται μια κακόφημη ιστοσελίδα.
Σύμφωνα με τη Nika Layzell, από το Project Fission της Mozilla:
Στόχος μας είναι να δημιουργήσουμε ένα πρόγραμμα περιήγησης το οποίο δεν θα είναι μόνο ασφαλές έναντι γνωστών κενών ασφαλείας, αλλά θα διαθέτει επίσης και στρώματα ενσωματωμένης άμυνας έναντι ενδεχόμενων μελλοντικών τρωτών σημείων. Για να επιτευχθεί αυτό, πρέπει να ανανεώσουμε την αρχιτεκτονική του Firefox για να υποστηρίξουμε την πλήρη απομόνωση του ιστότοπου.
Ονομάζουμε αυτό το επόμενο βήμα στην εξέλιξη του μοντέλου διεργασιών του Firefox “Project Fission”. Με το Project Fission, θα “χωρίσουμε το άτομο”, διαιρώντας τα cross-site iframes σε διαφορετικές διεργασίες από το parent frame (σ.σ.: το frame που τα περιέχει).
“Αυτό σημαίνει ότι ακόμα κι αν προωθείται μια επίθεση Specter από μια κακόβουλη ιστοσελίδα, τα δεδομένα από άλλους ιστότοπους γενικά δεν θα φορτώνονται στην ίδια διεργασία και έτσι θα υπήρχαν πολύ λιγότερα διαθέσιμα δεδομένα στον επιτιθέμενο”, σύμφωνα με τον Charlie Reis της Google.
Την πρώτη εφαρμογή του Project Fission στον Firefox θα πρέπει να την δούμε στα τέλη Φεβρουαρίου του 2019. Ας περιμένουμε να δούμε μήπως όλο αυτό επηρεάσει και την απόδοση του browser.
