2、站点隔离是googlechrome的一项新功能 ， 旨在减少频谱攻击 。
现在这个功能在chrome67中默认启用 。这意味着系统将自动防御一些恼人的漏洞 ， 但这也意味着Chrome——它已经在运行时占用了计算机的部分资源——现在使用的内存增加了10-13% 。
3、什么是光谱和熔毁攻击？
光谱和熔毁是同一脆弱性的两种不同变体 。他们可以利用一个漏洞 ， 这个漏洞几乎可以影响过去20年芯片制造商生产的任何计算机芯片 。当这两起攻击在去年年底被发现时 ， 世界各地的芯片制造商纷纷修复 。
从技术上讲 ， 有三种变化 。其中两个合并成光谱 ， 另一个则是熔毁 。为了访问一些内存 ， 这些攻击使用所谓的前瞻性执行 ， 然后使用定时攻击方法查找存储在那里的值 。前向执行是一种可以帮助芯片更快运行的机制 。用一个例子来说明这一点是最容易的 。假设一个程序将提供一个是或否的选择 ， 并且每个答案都会导致一个不同的过程 。芯片不再等待用户做出决定 ， 而是开始同时计算两个功能 ， 因此无论用户选择什么 ， 它都会有一个良好的开始 。前瞻性执行过程中使用的数据通常存储在cpu缓存中 ， 这就像一个小内存龛 ， 可以帮助加快从ram中获取数据的速度 。
现在 ， 让我们把这一切联系起来 。频谱攻击和熔毁攻击是利用芯片的前瞻性执行功能来达到攻击目的的两种攻击 。他们将使用定时攻击方法公开进程中加载的数据 ， 然后将其转储到CPU缓存 。
4、频谱和崩溃是如何影响浏览器的呢？
谷歌和所有其他浏览器制造商面临的问题是 ， 频谱和崩溃可以使“不受信任的代码”读取进程地址空间中的所有内存 。正如谷歌的查理里斯在博客中写道：“这对于web浏览器尤其重要 ， 因为不同的浏览器运行来自多个站点的潜在恶意javascript代码 ， 这些站点通常处于同一进程中 。理论上 ， 一个网站可以利用这种攻击从其他网站窃取信息 ， 从而违反了相应的策略 。所有主流浏览器都部署了一些针对spectre的对策 ， 包括减少时钟粒度和更改javascript编译器 ， 以降低攻击成功的可能性 。然而 ， 我们认为最有效的应对措施是网站隔离 ， 因为这种方法试图避免在同一过程中窃取数据 ， 即使发生频谱攻击 。”
简而言之 ， 理论上 ， 频谱攻击可以窃取其他网站的信息 。相同的同源策略在web应用程序安全中是一个相对神圣的概念 。它的想法是“web浏览器允许包含在第一个web页面中的脚本访问第二个web页面中的数据 ， 前提是两个web页面具有相同的源 。Mozilla对源代码的定义如下：
如果两页具有相同的协议、端口（如果指定了端口）和主机 ， 则两页具有相同的源 。
同源策略是浏览器安全的基础 。所有浏览器都部署某种形式的同源策略 。用微软的埃里克·劳伦斯的话说 ， 没有它 ， 将发生以下情况：
“如果来自一个源的内容可以读取从另一个源加载的内容 ， 那么一个站点很容易攻击另一个站点 。例如 ， 来自攻击者.com的iframe可以从yourbank.com读取另一个iframe的内容 ， 依此类推 。这样 ， 攻击者就可以根据自己的想象来决定要窃取多少敏感资源 。”
【Chrome 77引入的网站隔离安全功能，有着怎样的作用？】所以这就是为什么包括googlechrome在内的浏览器都在关注频谱和崩溃攻击 。

• 午后乐事讲的什么
• 为什么现在越来越多的人用手机支付，而身上带现金的越来越少呢？
• 《与妻书》的作者林觉民是怎样的一个人？
• 世界为何那么多遗憾，你是怎么想的？
• 一个在私立学校的有编制的老师，从教十一年了，还是初级职称，是不是很悲催？
• 为什么发的绿豆芽太小又细？
• 《最强大脑》第五季的脑王为什么是杨易而不是孙勇？
• 从历史的角度来讲，对世界而言特朗普是美国的希特勒吗？
• 中超联赛有没有“卧草”队？怎么看待这种足球场的“卧草”战术？
• “勾股定理”如何用手算的方法开方？