Mozilla官网将恶意站点放入另一个站点已在使用的同一

　　Mozilla官网将恶意站点放入另一个站点已在使用的同一

　　访问：

　　阿里巴巴云“88钢棒节”：免费获取商业计划书、通讯文案、智能记账工具

　　Firefox 站点隔离功能*敏*感*词*（来自：Mozilla 官网）

　　但是，在设置一定数量的进程后，恶意站点很可能会被放置在另一个站点已经在使用的同一个进程中，并被授予访问共享进程内存的权限。

　　在利用 Spectre 漏洞的情况下，恶意站点很可能会在同一进程中利用它从其他站点获取数据。

　　另外，现有的方案意味着任何广告，或者嵌入页面和子框架的内容，都会和父页面放在同一个进程中，不区分它们是否来自同一个站点。

　　好在“站点隔离”政策实施后，每个不属于同一个站点的嵌入元素都会有自己的进程，然后客户端操作系统会给浏览器提供内存保护和安全保障。

　　Mozilla 高级平台工程师 Anny Gakhokidze 在他的博客中写道：在更危险的情况下，恶意网站可能会在子框架中嵌入合法网站，并试图诱骗受害者输入敏感信息。

　　在成功执行 Spectre 攻击的情况下，顶级站点可能会访问不应从其嵌入式子帧访问的敏感信息（反之亦然）。

　　新版火狐浏览器引入的站点隔离安全架构，将有效增加恶意站点进行此类攻击的难度。

　　此外，Firefox 会将同一个网站 的 http 和 https 版本视为不同的站点，这意味着两者也会被置于不同的进程中。

　　ZDNet 指出，该功能将充分利用社区维护的有效顶级域名列表，包括 github.io 等网站。

　　这些网站有很多子域节点，所以Firefox也会把每个子部分当作一个单独的站点进行隔离。

　　Anny Gakhokidze 补充说，新架构还通过其他方式改善了 Firefox 体验：

　　例如，网站消耗的计算资源（或垃圾采集）不应降低其他页面的响应能力，或在页面崩溃时传播到其他网页。

　　更好的是，通过使用更多进程来加载网站，这将使我们能够将工作分配给多个 CPU 内核，从而更有效地利用底层硬件。

　　有消息称，Firefox 最早在 2019 年初就率先带来了名为“Project Fission”的站点隔离功能，而竞争对手谷歌为 Chrome 实现的站点隔离程序也已经有一段时间了。

　　有兴趣的朋友，可以尝试在 Firefox Nightly 中导航到 about:preferences#experimental，然后启用 Fission 复选框并重新启动浏览器。

　　对于正式版火狐/Beta频道的用户，也可以导航到about:config页面，将fission.autostart设置为启用，重启浏览器。

　　最后，Linux 平台的 Firefox 用户请注意，Project Fission Wiki 页面上的许多已知问题表明您可能会遇到 X11 连接器过度使用内存和资源耗尽等错误。