Компания Google в сентябре временно увеличила вознаграждение за нахождение уязвимостей в защите компьютерного варианта своего браузера Chrome. Chrome для Android обладает урезанным вариантом этой же защиты.

На ограниченное время выросла награда за эксплоиты, которые делают возможным взаимодействие сайтов внутри браузера и кражу паролей и прочей конфиденциальной информации. Также Google расширяет программу поиска уязвимостей, где теперь можно получать награду за нахождение багов в движке Blink. Эти баги тоже делают возможным межсайтовое взаимодействие в браузере.

Эти изменения появились через месяц после релиза версии Chrome 77. Разработчики впервые добавили изоляцию сайтов в июле прошлого года, что потребовало внести серьёзные изменения во внутреннюю работу браузера.

Как и другие браузеры, Chrome прежде смешивал JavaScript и другой контент из двух или более запущенных сайтов, объединяя их в единый процесс. Это открывало злоумышленникам возможность получить доступ к персональным данным с одного сайта через другой посредством таких уязвимостей, как Spectre и Meltdown. Они есть почти во всех современных процессорах.

Изоляция сайтов разделяет процессы обработки Blink для каждого сайта. Даже если вредоносный сайт способен обойти защиту от уязвимостей Spectre и Meltdown, до конфиденциальной информации он не доберётся.

Начиная с версии Chrome 77 для ПК изоляция сайтов защищает не только против таких атак, но и против более серьёзных. Подобные инциденты случаются при полном взломе Blink через уязвимость повреждения памяти и в некоторых других случаях. Усилив защиту, Google готова заплатить больше обычного за поиск потенциальных уязвимостей в ней.

Что касается мобильных устройств, прежде в Chrome для Android и iOS изоляция сайтов отсутствовала. Теперь это постепенно начинает меняться. В версии Chrome 77 для Android представлена ограниченная форма изоляции сайтов. Она относится только к тем сайтам, где пользователи вводят пароли. Ограничение выставлено, чтобы не упала производительность мобильных устройств. На компьютерах изоляция сайтов заставляет Chrome создавать больше процессов, которые могут израсходовать на 5% больше памяти (хотя всё зависит от объёма доступной памяти). На мобильных устройствах этот процент может быть намного выше.

Изоляция сайтов с вводом паролей включена на 99% Android-устройств на Chrome 77 с объёмом оперативной памяти как минимум 2 Гб. 1% устройств оставлен без изоляции, чтобы было с чем сравнивать производительность. Включить изоляцию сайтов можно по этому адресу.

В версии Chrome для iOS она по-прежнему отсутствует. Здесь браузер работает на движке WebKit, который не поддерживает элементы изоляции сайтов.