[20/05/2021] Mozilla anunció el martes que un esfuerzo de años para endurecer las defensas de Firefox ya se puede previsualizar en las versiones Nightly y Beta del navegador.
Debutando como "Proyect Fission" en febrero del 2019, el proyecto también estaba vinculado al más descriptivo "aislamiento del sitio", una tecnología defensiva en la que un navegador dedica procesos separados a cada dominio o incluso a cada sitio web y, en algunos casos, asigna procesos diferentes a los componentes del sitio, como los iframes, para que se rendericen por separado del proceso que maneja el sitio general.
La idea es aislar los sitios y componentes maliciosos -y el código de ataque que albergan- para que un sitio no pueda explotar una vulnerabilidad desconocida o aún sin parchear, y luego saquear el navegador, o el dispositivo, o la memoria de un dispositivo de información crucial. Esa información podría incluir credenciales de autenticación, datos confidenciales y claves de cifrado.
"Site Isolation se basa en una nueva arquitectura de seguridad que amplía los mecanismos de protección actuales, separando el contenido (web) y cargando cada sitio en su propio proceso del sistema operativo", escribió la ingeniera senior de la plataforma Anny Gakhokidze en un post del 18 de mayo en el sitio Hacks de Mozilla. "Para proteger completamente su información privada, un navegador web moderno no solo necesita proporcionar protecciones en la capa de la aplicación, sino que también necesita separar completamente el espacio de memoria de los diferentes sitios", continuó.
¿Se acuerda de Spectre? ¿Y Meltdown?
El aislamiento de sitios no era nuevo cuando Mozilla lo planteó hace dos años.
El término había sido utilizado por Google a finales del 2017, cuando empezó a hablar de las nuevas características defensivas que añadiría a Chrome, y a implementar la primera iteración de la tecnología. Aunque la compañía de Mountain View, California, había estado trabajando en el aislamiento de sitios durante gran parte de esa década, añadió la tecnología a Chrome a finales del 2017 y esperó hasta mediados del 2018 para activarla para la mayoría de los usuarios.
Fortuitamente, el aislamiento de sitios fue una respuesta a Spectre y Meltdown, clases de vulnerabilidades completamente nuevas que se hicieron públicas a principios del 2018. Las fallas, que se encontraron en una amplia gama de hardware, en particular en los procesadores de PC y servidores, así como en el software -en particular en los navegadores- causaron una sensación instantánea y un esfuerzo de mitigación en toda la industria por parte de todos, desde Intel y Lenovo hasta Microsoft y Google, cuyos ingenieros habían sido los que descubrieron Spectre.
Mozilla, al igual que otros navegadores no creados por Google, se vio obligada a crear defensas ad hoc contra Spectre y Meltdown. Pero también se comprometió a seguir el ejemplo de Chrome en lo que respecta al aislamiento de sitios, a pesar de que esa labor exigiría "renovar la arquitectura de Firefox", lo que obviamente es una empresa importante.
Actualmente, Firefox lanza un número fijo de procesos, incluyendo un proceso padre para el navegador, ocho para gestionar los contenidos de la web y otros cuatro designados para fines utilitarios, como los complementos del navegador y las operaciones de la GPU (unidad de procesamiento gráfico). Sin embargo, con Site Isolation activado, a cada sitio se le asigna su propio proceso y, en algunos casos, los elementos de una página -en un caso de Firefox era la plataforma publicitaria de Amazon- también reciben procesos separados.
(Cuando el aislamiento de sitios está activo, los usuarios pueden ver los procesos activos escribiendo about:processes en la barra de direcciones de Firefox).
Hace dos años, Mozilla se negó a establecer un calendario para lanzar Firefox con Fission (también conocido como Site Isolation), dando a entender únicamente que el trabajo sería arduo y quizás largo. "Tenemos que renovar la arquitectura de Firefox", señaló entonces Nika Layzell, directora técnica del proyecto Fission. "Fission es un proyecto enorme".
Ahora el panorama está un poco más claro.
Un calendario incierto
Mozilla ha incluido Fission en la versión Beta de Firefox 89 (así como en la versión Nightly, mucho menos pulida). Incluso ha habilitado Site Isolation en "un subconjunto de usuarios" de Firefox 89 Beta en un esfuerzo por recopilar comentarios sobre la funcionalidad de la tecnología. Esto no significa que Site Isolation sea inminente (el lanzamiento de Firefox 89 para producción está previsto para el 1 de junio, a solo dos semanas de distancia).
Gakhokidze, de Mozilla, dejó colgados a los usuarios de Firefox, diciendo que la empresa "planea un despliegue a más de nuestros usuarios a finales de este año". Nótese lo que no dijo, que todos los usuarios de Firefox tendrían Fission en sus manos antes de finales de diciembre.
Para aquellos que no tengan la suerte de que Mozilla haya activado Fission, hay una forma de activar manualmente la tecnología. Escriba about:config en la barra de direcciones, acepte la advertencia y en el campo de búsqueda de la página resultante, escriba fission.autostart y pulse Enter o Return. La entrada booleana debe ser falsa. Cambie a true haciendo clic en el ícono de la flecha de dos direcciones que se encuentra en el extremo derecho, que es un simple conmutador.
Puede encontrar más información sobre Fission de Firefox en el sitio web de Mozilla.
Basado en el artículo de Gregg Keizer (Computerworld) y editado por CIO Perú