Mozilla anunció el martes que ahora se puede obtener una vista previa de un esfuerzo de varios años para reforzar las defensas de Firefox en las versiones Nightly y Beta del navegador.
Lanzado como "Proyecto Fisión" en febrero de 2019, el proyecto también estaba relacionado con el "aislamiento del sitio" más descriptivo, una tecnología defensiva en la que un navegador dedica procesos separados a cada dominio o incluso a cada sitio web y, en algunos casos, asigna diferentes procesos. a los componentes del sitio, como iframes, para que se representen por separado del proceso que administra todo el sitio.
La idea es aislar los sitios y componentes maliciosos, y el código de ataque que alojan, para que un sitio no pueda explotar una vulnerabilidad desconocida o aún no parcheada y luego saquear el navegador, el dispositivo o la memoria de un dispositivo de información crítica. Esta información puede incluir información de autenticación, datos confidenciales y claves de cifrado.
"El aislamiento del sitio se basa en una nueva arquitectura de seguridad que amplía los mecanismos de protección actuales al separar el contenido (web) y cargar cada sitio en su propio proceso de sistema operativo", escribió Anny Gakhokidze, ingeniero jefe de la plataforma, en un artículo del 18 de mayo sobre Mozilla Sitio de hacks. “Para proteger completamente su información privada, un navegador web moderno no solo debe brindar protección a la capa de aplicación, sino que también debe separar completamente el espacio de memoria de los diferentes sitios”, continuó.
¿Te acuerdas de Spectre? ¿Qué pasa con Meltdown?
El aislamiento de sitios no era nada nuevo cuando Mozilla lo introdujo hace dos años.
El término había sido utilizado por Google a fines de 2017, cuando comenzó a hablar de nuevas funciones defensivas que agregaría a Chrome e implementaría la primera iteración de la tecnología. Aunque la compañía de Mountain View, California, ha estado trabajando en el aislamiento del sitio durante gran parte de esta década, agregó la tecnología a Chrome a fines de 2017 y esperó hasta mediados de 2018 para activarla para la mayoría de los usuarios.
Afortunadamente, el aislamiento del sitio fue una respuesta a Spectre y Meltdown, clases de vulnerabilidades completamente nuevas que se hicieron públicas a principios de 2018.Las fallas, que se han encontrado en una amplia gama de hardware, incluidos procesadores y servidores de PC, así como en El software, especialmente los navegadores, causó una sensación instantánea y un esfuerzo de mitigación en toda la industria por parte de todos, desde Intel y Lenovo hasta Microsoft y Google, cuyos ingenieros fueron los que descubrieron Spectre.
Mozilla, al igual que otros navegadores no diseñados por Google, se vio obligado a crear defensas ad hoc contra Spectre y Meltdown. Pero también se comprometió a seguir el ejemplo de Chrome en términos de aislamiento de sitios, incluso si este trabajo requiriera "renovar la arquitectura de Firefox", obviamente una empresa importante.
Actualmente, Firefox lanza una cantidad fija de procesos, incluido un proceso principal para el navegador, ocho para manejar contenido web y cuatro para fines de utilidad, como complementos del navegador y operaciones de GPU (GPU). Sin embargo, con el aislamiento del sitio habilitado, a cada sitio se le asigna su propio proceso y, en algunos casos, a los elementos de una página (en un caso en Firefox, esta era la plataforma publicitaria de Amazon) también se les asignan procesos separados.
(Cuando el aislamiento del sitio está activo, los usuarios pueden ver los procesos activos escribiendo about: process en la barra de direcciones de Firefox).
Hace dos años, Mozilla se negó a establecer una línea de tiempo para el lanzamiento de Firefox con Fission (también conocido como Site Isolation), lo que solo implicaba que el trabajo sería arduo y posiblemente largo. "Necesitamos renovar la arquitectura de Firefox", dijo Nika Layzell, líder técnico del proyecto del equipo de Fission en ese momento. "La fisión es un proyecto masivo".
La imagen es un poco más clara ahora.
Una línea de tiempo incierta
Mozilla integró Fission en la versión beta de Firefox 89 (así como en la versión Nightly mucho menos sofisticada). Incluso permitió el aislamiento del sitio en "un subconjunto de usuarios" de Firefox 89 Beta en un intento de obtener comentarios sobre la funcionalidad de la tecnología. Esto no significa que el aislamiento del sitio sea inminente (el lanzamiento de Firefox 89 de grado de producción está programado para el 1 de junio, en solo dos semanas).
Gakhokidze de Mozilla ha dejado en suspenso a los usuarios de Firefox, dice el plan de la empresa lanzándose a más de nuestros usuarios a finales de este año. Tenga en cuenta lo que no dijo, que todos los usuarios de Firefox tendrían Fission en sus manos a finales de diciembre.
Para aquellos que no tienen la suerte de que Mozilla active Fission, existe una forma de activar manualmente la tecnología. Escribe about: config en la barra de direcciones, acepta la advertencia y, en el cuadro de búsqueda de la página resultante, escribe fission.autostart y presiona Enter o Return. La entrada booleana debería ser falsa. Ajústelo a verdadero haciendo clic en el icono de flecha bidireccional en el extremo derecho, que es un simple alternar.
Puede encontrar más información sobre la fisión de Firefox en el sitio web de Mozilla.
<p>Copyright © 2021 IDG Communications, Inc.</p>