Mozilla、Firefoxにサイト隔離のための機構を導入へ
Mozillaは5月18日、セキュリティブログにてFirefoxのデスクトップ版に「Site Isolation」機能を導入することを発表した。2018年初めに脅威が報告されたMeltdownなどの脅威に対するものとなる。
Site IsolationアーキテクチャはFirefoxのセキュリティアーキテクチャを再設計するものとなり、Desktop版でFirefoxが読み込む全てのサイトに対してOSプロセスレベルの境界を設けるもの。各サイトごとにOSプロセスを持たせることで、悪意あるサイトが他のサイト上の機密情報などを取得することができないようにするという。Site Isolationは現在、NightlyおよびBetaチャネルで公開されている。有効にするには、設定からfission.autostartの値を”true”にして再起動する必要がある(Betaリリースの場合)。2021年後半には正式版で実現する見通しのようだ。
Site Isolationは、MeltdownとSpectreの2種のCPU脆弱性が契機になったようだ。MeltdownとSpectreに対しMozillaはすぐにセキュリティ対策を講じたが、Web上での悪意ある攻撃者のテクニックが進化しており、根本の設計から見直す必要があるとしている。なおMozillaは19日、Linux版のクラッシュレポートを通じた安定性強化の取り組みについても報告している。
クラッシュ時のプロセスメモリのスナップショットminidumpをRustで一部書き直すなどカスタマイズし、サーバーサイドのScorroでスタックトレースを抽出するというプロセスで多数の工夫を加えており、Linux版では特にディストリビューションにパッケージされたものをインストールしていることから固有の難しさがあった。そこでデバッグ情報のスクレイピングを行うことで、これまで、Linuxユーザーから受け取ったクラッシュレポートの20%以下しか分析できなかったのが、99%を分析できるようになったという。これにより、WebRender、WebGPU、Wayland、VA-APIなどの最先端のコンポーネントにおける問題、上記のSIte Isolationのバグなどの早期発見につながっており、ディストリビューション固有のバグでは各プロジェクトチームと連携を図っているという。
Mozilla
https://www.mozilla.org