A Mozilla anunciou na terça-feira que um esforço de anos para endurecer as defesas do Firefox pode agora ser visualizado nas compilações Nightly e Beta do navegador.
Estreando como “Projeto Fissão” em fevereiro de 2019 , o projeto também estava vinculado ao “isolamento de site” mais descritivo, uma tecnologia defensiva em que um navegador dedica processos separados a cada domínio ou mesmo a cada site e, em alguns casos, atribui processos diferentes aos componentes do site, como iframes, para que sejam renderizados separadamente do processo que trata do site geral.
A ideia é isolar sites e componentes maliciosos – e o código de ataque que eles abrigam – para que um site não possa explorar uma vulnerabilidade desconhecida ou ainda não corrigida e, em seguida, roubar o navegador, o dispositivo ou a memória de um dispositivo de informações cruciais. Essas informações podem incluir credenciais de autenticação, dados confidenciais e chaves de criptografia.
“Site Isolation se baseia em uma nova arquitetura de segurança que estende os mecanismos de proteção atuais, separando o conteúdo (web) e carregando cada site em seu próprio processo de sistema operacional”, escreveu o engenheiro sênior de plataforma Anny Gakhokidze em uma postagem de 18 de maio no site Hacks da Mozilla. “Para proteger totalmente suas informações privadas, um navegador moderno não só precisa fornecer proteções na camada do aplicativo, mas também separar totalmente o espaço de memória de diferentes sites”, continuou ela.
Lembra do Spectre? Que tal Meltdown?
O isolamento de sites não era novidade quando a Mozilla o mencionou há dois anos.
O termo havia sido usado pelo Google no final de 2017, quando ele começou a falar sobre novos recursos defensivos que iria adicionar ao Chrome e implementar a primeira iteração da tecnologia. Embora a empresa de Mountain View, Califórnia, tenha trabalhado no isolamento de sites durante grande parte dessa década, ela adicionou a tecnologia ao Chrome no final de 2017 e esperou até meados de 2018 para ativá-lo para a maioria dos usuários.
Por sorte, o isolamento do site foi uma resposta a Spectre e Meltdown, classes inteiramente novas de vulnerabilidades que se tornaram públicas no início de 2018. As falhas, que foram encontradas em uma vasta gama de hardware, notavelmente em processadores de PC e servidor, bem como em software – particularmente navegadores – causaram sensação instantânea e um esforço de mitigação em toda a indústria por parte de todos, da Intel e Lenovo à Microsoft e Google, cujos engenheiros foram os únicos a descobrir Spectre.
O Mozilla, como outros navegadores não desenvolvidos pelo Google, foi forçado a criar defesas ad hoc contra Specter e Meltdown. Mas também se comprometeu a seguir o exemplo do Chrome para o isolamento do site, embora esse trabalho exija uma “reformulação da arquitetura do Firefox”, obviamente um grande empreendimento.
Atualmente, o Firefox inicia um número fixo de processos, incluindo um processo pai para o navegador, oito para gerenciar o conteúdo da web e outros quatro designados para fins de utilidade, como complementos do navegador e operações de GPU (unidade de processador gráfico). Com o Isolamento de sites habilitado, no entanto, cada site recebe seu próprio processo e, em alguns casos, os elementos de uma página – em um caso no Firefox era a plataforma de publicidade da Amazon – recebem processos separados também.
(Quando o isolamento do site está ativo, os usuários podem visualizar os processos ativos digitando sobre: processos na barra de endereços do Firefox.)
Dois anos atrás, a Mozilla se recusou a definir um cronograma para o lançamento do Firefox com Fission (também conhecido como Site Isolation), apenas implicando que o trabalho seria árduo e talvez longo. “Precisamos renovar a arquitetura do Firefox”, disse Nika Layzell, líder de tecnologia do projeto da equipe Fission, na época. “A fissão é um projeto gigantesco.”
A imagem está um pouco mais clara agora.
Um calendário incerto
A Mozilla incluiu o Fission no Beta do Firefox 89 (assim como o Nightly build, muito menos polido). Ele até habilitou o isolamento de sites em “um subconjunto de usuários” do Firefox 89 Beta em um esforço para coletar feedback sobre a funcionalidade da tecnologia. Isso não significa que o isolamento de site seja iminente (o Firefox 89 de nível de produção está programado para ser lançado em 1º de junho, daqui a duas semanas).
Gakhokidze da Mozilla deixou os usuários do Firefox esperando, dizendo que a empresa “planeja um lançamento para mais de nossos usuários ainda este ano.” Observe o que ela não disse, que todos os usuários do Firefox teriam o Fissão em mãos antes do final de dezembro.
Para aqueles que não tiveram a sorte de ter o Fission ativado pelo Mozilla, existe uma maneira de habilitar a tecnologia manualmente. Digite about: config na barra de endereço, aceite o aviso e no campo de pesquisa na página resultante, digite fission.autostart e pressione Enter ou Return. A entrada booleana deve ser falsa . Torne-o verdadeiro clicando no ícone de seta bidirecional na extremidade direita, que é uma alternância simples.
Mais informações sobre o Firefox’s Fission podem ser encontradas no site da Mozilla.
