Mozilla anunció el martes que ahora se puede obtener una vista previa de un esfuerzo de varios años para reforzar las defensas de Firefox en las versiones Nightly y Beta del navegador.
Lancé sous le nom de « Project Fission » en février 2019, le projet était également lié à « l'isolation de site », plus descriptive, une technologie défensive dans laquelle un navigateur consacre des processus distincts à chaque domaine ou même à chaque site Web et, dans certains cas, attribue des processus différents. . aux composants du site, tels que les iframes, afin qu'ils soient rendus séparément du processus qui gère l'ensemble du site. L'idée est d'isoler les sites et composants malveillants, ainsi que le code d'attaque qu'ils hébergent, afin qu'un site ne puisse pas exploiter une vulnérabilité inconnue ou non encore corrigée, puis piller les informations critiques du navigateur, de l'appareil ou de la mémoire de l'appareil. Ces informations peuvent inclure des informations d'authentification, des données sensibles et des clés de cryptage. "L'isolation des sites repose sur une nouvelle architecture de sécurité qui étend les mécanismes de protection actuels en séparant le contenu (Web) et en chargeant chaque site dans son propre processus de système d'exploitation", a écrit Anny Gakhokidze, ingénieur en chef de la plateforme, dans un article du 18 mai sur le site. Site Mozilla Hacks. "Pour protéger pleinement vos informations privées, un navigateur Web moderne doit non seulement assurer une protection de la couche application, mais doit également séparer complètement l'espace mémoire des différents sites", a-t-il poursuivi.
Vous vous souvenez de Spectre ? Qu'en est-il de Meltdown ?
L'isolation des sites n'était pas nouvelle lorsque Mozilla l'a introduit il y a deux ans. Le terme avait été utilisé par Google fin 2017, lorsqu'il avait commencé à parler de nouvelles fonctionnalités défensives qu'il ajouterait à Chrome et mettrait en œuvre la première itération de la technologie. Bien que la société californienne de Mountain View ait travaillé sur l’isolation des sites pendant une grande partie de cette décennie, elle a ajouté la technologie à Chrome fin 2017 et a attendu mi-2018 pour l’activer pour la plupart des utilisateurs. Heureusement, l'isolement du site était une réponse à Spectre et Meltdown, des classes de vulnérabilités entièrement nouvelles devenues publiques début 2018. Les failles, qui ont été découvertes dans une large gamme de matériel, y compris les processeurs et les serveurs PC, ainsi que dans les logiciels. , en particulier les navigateurs, ont provoqué une sensation instantanée et un effort d'atténuation à l'échelle de l'industrie de la part de tous, d'Intel et Lenovo à Microsoft et Google, dont les ingénieurs ont découvert Spectre. Mozilla, comme d'autres navigateurs non conçus par Google, a été contraint de créer des défenses ad hoc contre Spectre et Meltdown. Mais il s'est également engagé à suivre l'exemple de Chrome en matière d'isolation des sites, même si ce travail nécessiterait de « réarchitecturer Firefox », ce qui constitue évidemment un projet majeur. Actuellement, Firefox lance un nombre fixe de processus, dont un processus principal pour le navigateur, huit pour la gestion du contenu Web et quatre à des fins utilitaires telles que les plugins de navigateur et les opérations GPU. Cependant, lorsque l'isolation des sites est activée, chaque site se voit attribuer son propre processus et, dans certains cas, les éléments d'une page (dans un cas dans Firefox, il s'agissait de la plate-forme publicitaire d'Amazon) se voient également attribuer des processus distincts. (Lorsque l'isolation du site est active, les utilisateurs peuvent voir les processus actifs en tapant about:process dans la barre d'adresse de Firefox.) Il y a deux ans, Mozilla a refusé de fixer un calendrier pour la sortie de Firefox avec Fission (alias Site Isolation), ce qui impliquait seulement que le travail serait ardu et peut-être long. "Nous devons ré-architecturer Firefox", a déclaré Nika Layzell, alors responsable du projet technique pour l'équipe Fission. "La fission est un projet colossal." L'image est un peu plus claire maintenant.
Un calendrier incertain
Mozilla a intégré Fission dans la version bêta de Firefox 89 (ainsi que dans la version Nightly, beaucoup moins sophistiquée). Il a même permis d'isoler le site pour "un sous-ensemble d'utilisateurs" de Firefox 89 Beta dans le but d'obtenir des commentaires sur les fonctionnalités de la technologie. Cela ne signifie pas que l'isolement du site est imminent (la sortie de Firefox 89 de qualité production est prévue pour le 1er juin, dans deux semaines seulement). Gakhokidze de Mozilla a mis les utilisateurs de Firefox en attente, indique le projet de la société de le déployer auprès d'un plus grand nombre de nos utilisateurs plus tard cette année. Notez ce qu'il n'a pas dit, à savoir que tous les utilisateurs de Firefox auraient Fission entre leurs mains d'ici fin décembre. Pour ceux qui n'ont pas la chance que Mozilla active Fission, il existe un moyen d'activer manuellement la technologie. Tapez about:config dans la barre d'adresse, acceptez l'avertissement et dans la zone de recherche de la page résultante, tapez fission.autostart et appuyez sur Entrée ou Retour. L'entrée booléenne doit être fausse. Définissez-le sur true en cliquant sur l'icône de flèche bidirectionnelle à l'extrême droite, qui est une simple bascule. Vous pouvez trouver plus d'informations sur la fission de Firefox sur le site Web de Mozilla.
<p>Copyright © 2021 IDG Communications, Inc.</p>