Mozilla、FirefoxにWEB分離ソリューション「Site Isolation」の導入を開始:Site Isolationを有効にする方法

How Site Isolation works

Mozillaは悪意のあるWebサイトを経由した攻撃からユーザを保護するセキュリティ機能、「サイトアイソレーション機能(Site Isolation)」をFirefoxへ展開を開始しました。

https://hacks.mozilla.org/2021/05/introducing-firefox-new-site-isolation-security-architecture/

これまでSite Isolationは新機能のテストのために公開しているリリースチャネルであるFirefox Nightlyのユーザのみが有効にできました。

Site Isolationは、Project Fissionのコードネームで2018年4月から開発が進められており、Mozillaは2019年2月にFirefox Webブラウザに追加する計画を初めて発表していました。

同様のSite Isolation機能はGoogle Chromeでも提供されており、2017年12月にChrome 63ユーザー向けに実験的な機能として初めて公開され、その後2018年5月末にリリースされたChrome 67で一般的に利用できるようになりました。

Site Isolationの仕組み

新しいセキュリティアーキテクチャ「Site Isolation」は、サイト間のセキュリティ機能として機能しユーザーのウェブコンテンツを完全に分離、すべてのサイトを別のプロセスで読み込むことで動作します。

そのため、悪意のあるウェブサイトが他のサイトから読み込まれたプライベートデータ(パスワード、クレジットカード番号、その他の機密情報を含む)にアクセスすることを防ぎます。

例えば、この新機能を有効にするとMeltdownおよびSpectreの脆弱性を悪用した攻撃者がプロセスのアドレス空間内の任意の場所のメモリコンテンツを読み取ることで機密データを採取できるという問題からユーザーを保護することができます。

Mozilla のエンジニアである Anny Gakhokidze と Neha Kochar は、「この Firefox のセキュリティアーキテクチャの再設計を行い、Firefox for Desktop で読み込まれるすべてのサイトにオペレーティングシステムのプロセスレベルの境界を設けることで現在のセキュリティメカニズムを拡張させることができました。各サイトを別のオペレーティングシステムプロセスに分離することで悪意のあるサイトが他のサイトの秘密やプライベートなデータを読み取ることが困難になります。」と述べています。

Site Isolationにはセキュリティ上の利点のほかにパフォーマンス向上の利点もあります。

ページの読み込みをそれぞれ別のプロセスに配置することで、あるページで重い計算を行っても他のプロセスのページの応答時間を低下させないようにすることができます。

また、ウェブサイトの読み込みに複数のプロセスを使用することで多くのCPUコアに負荷を分散させ、ベースのハードウェアをより効率的に使用することができます。

サイト表示の処理をより細かく分離することでサブフレームやタブがクラッシュしても別のプロセスで読み込まれたWebサイトには影響しないため、アプリケーションの安定性が向上しユーザーエクスペリエンスが向上します。

FirefoxのSite Isolationを有効にする方法

Site IsolationはFirefox の Release、Beta、Nightly などの各リリースチャネルで有効にすることで、今すぐテストすることができます。

Firefox NightlyでSite Isolationを有効にするには

Firefoxで「about:preferences#experimental」を開きます

「Fission (Site Isolation)」のチェックボックスをチェックして有効にします

Firefoxを再起動します。

Firefox BetaまたはReleaseでSite Isolationを有効にするには

Firefoxで「about:config」を開きます。

「fission.autostartprefを「true」に設定します

Firefoxを再起動します。

Site Isolation
Site Isolation

この機能を有効にすると、悪意のあるWebサイトが他のサイトから読み込んだ個人情報にアクセスできるような、現在および将来のセキュリティ脆弱性から保護することが可能になります。

Leave a Reply

Your email address will not be published.