Mozilla migliora le difese di Firefox grazie a Project Fission

Con Project Fission Mozilla punta a bloccare i siti malevoli ed attaccare il codice malevolo in modo che i siti web non creino caos all'intero browser.

project fission

Mozilla prevede di potenziare le capacità difensive di Firefox imitando la tecnologia Site Isolation introdotta su Google Chrome lo scorso anno. Soprannominata Project Fission, questa novità ha lo scopo di isolare i siti dannosi e attaccare codice malevolo in modo che i singoli siti non possano causare caos nel browser o sottrarre dal dispositivo informazioni critiche, come le credenziali di autenticazione e le chiavi di crittografia.

“Puntiamo a realizzare un browser che non sia solo sicuro contro vulnerabilità già note, ma che abbia anche strati di protezione integrati contro future e potenziali vulnerabilità” ha dichiarato Nika Layzel, responsabile tecnica del progetto del team di Fission. “Per riuscirci, abbiamo bisogno di rinnovare l’architettura di Firefox e supportare una completa Site Isolation.”

Questo termine, benché “generico”, è stato collegato recentemente a Google, che l’ha utilizzato per descrivere le funzionalità difensive aggiunte Chrome nel 2018. Sebbene Google avesse lavorato a Site Isolation per anni, ha aggiunto la tecnologia solo a Chrome a fine 2017 e l’ha attivata per la maggior parte degli utenti a metà del 2018.

Fortuitamente Site Isolation è stata la risposta a Spectre e Meltdown, nuove classi di vulnerabilità presenti in una vasta gamma di hardware, inclusi processori per PC e server e software (principalmente browser) rese pubbliche all’inizio del 2018. Grazie a Site Isolation un browser dedica processi separati a ciascun dominio, o sito e, in alcuni casi, diversi processi per componenti su un sito. Gli iframe, ad esempio, che sono stati utilizzati per scopi dannosi, sono renderizzati in processi separati da quelli che gestiscono il sito nel suo complesso.

Un ingegnere informatico di Chrome ha applaudito la mossa di Mozilla. “È fantastico sentire che per Firefox si sta lavorando sull’isolamento completo del sito” ha detto recentemente Nasko Oskov. “Farò il tifo per Firefox e se condividere gli ostacoli incontrati nello sviluppo su Chrome può essere utile, sarei più che felice di condividerli”.

Attualmente Firefox dedica un processo all’interfaccia utente del browser (UI) e molti altri (fino a otto) per il contenuto delle schede del browser. Una tecnologia come Site Isolation moltiplicherebbe il numero di processi assegnati al browser, con almeno uno (ma probabilmente di più) per ciascun sito web. L’attuale impostazione multi-processo, chiamata Electrolysis, ha avuto un percorso tortuoso, tanto che solo nel 2016 Firefox ha iniziato a implementarlo per tutti i suoi utenti, con Mozilla che lo ha definito come “il più grande cambiamento che abbiamo mai apportato a Firefox”.

“Project Fission sarà un progetto altrettanto impegnativo”, ha predetto la Layzel. “Fission è un progetto enorme proprio perché abbiamo bisogno di rinnovare l’architettura di Firefox per portare a termine la missione”. Mozilla non ha dato alcun accenno a quando prevede di completare Fission (non ha ancora pubblicato una roadmap pubblica come a volte fa con iniziative importanti), ma il primo di quella che sarà sicuramente una lunga serie di traguardi è previsto per la fine di febbraio.

“Ora che abbiamo portato a termine gran parte del lavoro di infrastruttura iniziale, continueremo a progredire raggiungendo nuovi step”, ha scritto la Layzel. “Ogni traguardo raggiunto conterrà una raccolta di nuove funzionalità migliorate che ci avvicina in modo incrementale al nostro obiettivo.” Il primo di questi indicatori includerà i passi necessari per spostare gli iframe verso i loro processi.

Nessuno a Mozilla ha azzardato un’ipotesi sull’impatto che Fission avrà a livello di memoria, ma questo argomento sarà di grande interesse per gli utenti quando il progetto si avvicinerà alla versione finale. La suddivisione del browser in più processi consuma più memoria, un fattore importante nella decisione di Mozilla di adottare il formato Electrolysis.

Ai tempi Mozilla sosteneva che sul versante della memoria il suo approccio era più conservativo di quello di Google, che in quel periodo si basava su un processo separato per ogni tab, mentre ora Chrome può assegnare diversi processi ai contenuti di una singola scheda. Quando Google ha aggiunto Site Isolation a Chrome, l’impatto sulla memoria è aumentato di circa il 20%, anche se i cambiamenti successivi lo hanno portato tra il 10% e il 13%.