サイト分離
サイト分離 とは何ですか?
サイト分離異なるサイトのドキュメントを別々の OS プロセスに割り当て、侵害された描画プロセスからクロスサイトのデータを読み取れないようにする Chromium のセキュリティ機構。
サイト分離(Site Isolation)は Chrome で初めて導入されたブラウザのセキュリティ機能で、サイトごとに専用のレンダラープロセスを割り当て、クロスサイトの iframe を別プロセス(out-of-process iframe)で実行します。境界はブラウザプロセスが強制し、Cross-Origin Read Blocking(CORB)と Opaque Response Blocking(ORB)が、許可されないレンダラーへ機微な応答が届くことを防ぎます。Spectre 等のサイドチャネル攻撃や、レンダラーでの RCE 攻撃に対して堅牢で、レンダラー内で攻撃コードが動作しても、OS のプロセス境界が他サイトの認証済みデータを保護します。Edge、Brave など Chromium 派生ブラウザも同モデルを採用しています。
● 例
- 01
attacker.com と bank.com を開くと別々のレンダラープロセスになる。
- 02
news.example の中の accounts.google.com の iframe が専用 OS プロセスで動作する。
● よくある質問
サイト分離 とは何ですか?
異なるサイトのドキュメントを別々の OS プロセスに割り当て、侵害された描画プロセスからクロスサイトのデータを読み取れないようにする Chromium のセキュリティ機構。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
サイト分離 とはどういう意味ですか?
異なるサイトのドキュメントを別々の OS プロセスに割り当て、侵害された描画プロセスからクロスサイトのデータを読み取れないようにする Chromium のセキュリティ機構。
サイト分離 はどのように機能しますか?
サイト分離(Site Isolation)は Chrome で初めて導入されたブラウザのセキュリティ機能で、サイトごとに専用のレンダラープロセスを割り当て、クロスサイトの iframe を別プロセス(out-of-process iframe)で実行します。境界はブラウザプロセスが強制し、Cross-Origin Read Blocking(CORB)と Opaque Response Blocking(ORB)が、許可されないレンダラーへ機微な応答が届くことを防ぎます。Spectre 等のサイドチャネル攻撃や、レンダラーでの RCE 攻撃に対して堅牢で、レンダラー内で攻撃コードが動作しても、OS のプロセス境界が他サイトの認証済みデータを保護します。Edge、Brave など Chromium 派生ブラウザも同モデルを採用しています。
サイト分離 からどのように防御しますか?
サイト分離 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サイト分離 の別名は何ですか?
一般的な別名: Strict Site Isolation。
● 関連用語
- appsec№ 129
ブラウザサンドボックス
OS レベルの分離層で、ブラウザのレンダラーやヘルパープロセスを閉じ込め、侵害された Web コードがファイルシステムや他アプリへアクセスできないようにする。
- appsec№ 1075
投機的実行サイドチャネル
本来実行されるべきでない経路で命令を投機的に実行した結果、CPU がキャッシュや予測器を介してデータを漏らしてしまうマイクロアーキテクチャ脆弱性の総称。
- vulnerabilities№ 1074
Spectre
CPU の投機的実行を悪用し、キャッシュベースのサイドチャネルを介してセキュリティ境界を越えてデータを漏えいさせるマイクロアーキテクチャ攻撃の総称。
- vulnerabilities№ 665
Meltdown
アウトオブオーダー実行と権限チェックの遅延を悪用し、非特権コードがカーネルメモリを読み出せるようにするマイクロアーキテクチャ脆弱性(CVE-2017-5754)。
- appsec№ 960
同一オリジンポリシー (SOP)
あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。
- defense-ops№ 964
サンドボックスエスケープ
ブラウザ、VM、ハイパーバイザなどの隔離サンドボックスからコードが抜け出し、外側のホスト環境でコード実行を得るための脆弱性または攻撃チェーン。