Mozilla anunció el martes que un esfuerzo de un año para fortalecer las defensas de Firefox ahora se puede previsualizar en las compilaciones Nightly y Beta del navegador.
Debutando como «Proyecto Fisión» en febrero de 2019, el proyecto también se ha vinculado al «aislamiento de sitios» más descriptivo, una tecnología defensiva en la que un navegador dedica procesos separados a cada dominio o incluso a cada sitio web y, en algunos casos, asigna diferentes procesos a los componentes del sitio, como iframes, para que se muestren por separado de todo el proceso de administración del sitio.
La idea es aislar los sitios y componentes maliciosos y el código de ataque que alojan, de modo que un sitio no pueda explotar una vulnerabilidad desconocida o aún no parcheada y luego saquear el navegador, el dispositivo o la memoria de un dispositivo de información crucial. Dicha información podría incluir credenciales de autenticación, datos confidenciales y claves de cifrado.
«Site Isolation se basa en una nueva arquitectura de seguridad que amplía los mecanismos de protección actuales al separar el contenido (web) y cargar cada sitio en su propio proceso de sistema operativo», escribió la ingeniera de plataforma senior Anny Gakhokidze el 18 de mayo en una publicación de Mozilla Trucos lugar. «Para proteger completamente su información privada, un navegador web moderno no solo debe proporcionar protecciones a nivel de aplicación, también debe separar completamente el espacio de almacenamiento de diferentes sitios», continuó.
¿Recuerdas a Spectre? ¿Qué tal Meltdown?
El aislamiento de sitios no era nada nuevo cuando Mozilla habló de ello hace dos años.
Google había utilizado el término a fines de 2017, cuando comenzó a hablar de nuevas funciones defensivas que agregaría a Chrome y lanzaría la primera versión de la tecnología. Aunque la compañía con sede en Mountain View, California, trabajó en el aislamiento del sitio durante gran parte de esa década, agregó la tecnología a Chrome a fines de 2017 y esperó hasta mediados de 2018 para activarla para la mayoría de los usuarios.
Casualmente, el aislamiento del sitio fue una respuesta Espectro y Meltdown, clases de vulnerabilidad completamente nuevas que se hicieron públicas a principios de 2018. Las fallas, que se encontraron en una amplia gama de hardware, especialmente en procesadores y servidores de PC, así como en software, especialmente navegadores, inmediatamente causaron revuelo y una industria – un extenso esfuerzo de mitigación por parte de todos, desde Intel y Lenovo hasta Microsoft y Google, cuyos ingenieros fueron los únicos en descubrir Spectre.
Mozilla, al igual que otros navegadores no fabricados por Google, se vio obligado a crear defensas ad hoc contra Spectre y Meltdown. Pero también se comprometió a seguir el ejemplo de Chrome hacia el aislamiento del sitio, a pesar de que ese trabajo hubiera requerido «renovar la arquitectura de Firefox», obviamente una empresa importante.
Actualmente, Firefox lanza una cantidad fija de procesos, incluido un proceso principal para el navegador, ocho para administrar el contenido web y otros cuatro designados para fines de utilidad, como complementos del navegador y operaciones de GPU (unidad de procesador de gráficos). Sin embargo, con Site Isolation habilitado, a cada sitio se le asigna su propio proceso y, en algunos casos, incluso los elementos de una página (en un caso en Firefox era la plataforma publicitaria de Amazon) tienen procesos separados.
(Cuando el aislamiento del sitio está activado, los usuarios pueden ver los procesos activos escribiendo acerca de: procesos en la barra de direcciones de Firefox).
Hace dos años, Mozilla se negó a establecer un calendario para el lanzamiento de Firefox con Fission (también conocido como Site Isolation), lo que solo implica que el trabajo sería arduo y posiblemente llevaría mucho tiempo. «Necesitamos renovar la arquitectura de Firefox», dijo Nika Layzell, gerente de proyectos técnicos del equipo de Fission en ese momento. «La fisión es un proyecto enorme».
La imagen es un poco más clara ahora.
Un calendario incierto
Mozilla ha integrado Fission en Firefox 89 Beta (así como en la versión Nightly mucho menos refinada). También permitió el aislamiento del sitio en «un subconjunto de usuarios» de Firefox 89 Beta en un esfuerzo por recopilar comentarios sobre las capacidades de la tecnología. Eso no significa que el aislamiento del sitio sea inminente (el nivel de producción de Firefox 89 se lanza el 1 de junio, a solo dos semanas de distancia).
Gakhokidze de Mozilla dejó a los usuarios de Firefox en espera, diciendo que el plan de la compañía[s] un lanzamiento a más de nuestros usuarios para fin de año. «Fíjate en lo que no dijo, ese todas Los usuarios de Firefox tendrían Fission en la mano antes de finales de diciembre.
Para aquellos que no tienen la suerte de tener Mozilla activado Fission, hay una manera de habilitar manualmente la tecnología. amable acerca de: config en la barra de direcciones, acepte la advertencia y en el campo de búsqueda de la página resultante, escriba fission.autostart y presione Entrar o Retorno. La entrada booleana debe leerse falso. Conviertelo cierto haciendo clic en el icono de flecha bidireccional en el extremo derecho, que es un simple alternar.
Puede encontrar más información sobre Firefox Fission en el sitio web de Mozilla.
Copyright © 2021
