Izolace mezi původními zdroji: Zabezpečení JavaScript SharedArrayBuffer

V neustále se vyvíjejícím světě webového vývoje zůstává bezpečnost prvořadým zájmem. Zavedení výkonných funkcí jako SharedArrayBuffer v JavaScriptu přineslo významné zlepšení výkonu, ale také otevřelo nové cesty pro potenciální bezpečnostní zranitelnosti. K zmírnění těchto rizik byl zaveden koncept izolace mezi původními zdroji (Cross-Origin Isolation, COOP/COEP). Tento článek se podrobně zabývá složitostmi izolace mezi původními zdroji, jejím vztahem k SharedArrayBuffer, bezpečnostními důsledky a tím, jak ji efektivně implementovat ve vašich webových aplikacích.

Porozumění SharedArrayBuffer

SharedArrayBuffer je JavaScriptový objekt, který umožňuje více agentům (např. Web Workerům nebo různým kontextům prohlížeče) přistupovat a upravovat stejnou paměť. To umožňuje efektivní sdílení dat a paralelní zpracování, což je zvláště užitečné pro výpočetně náročné úkoly, jako je zpracování obrazu, kódování/dekódování videa a vývoj her.

Představte si například aplikaci pro střih videa běžící v prohlížeči. Pomocí SharedArrayBuffer může hlavní vlákno a několik Web Workerů současně pracovat na různých snímcích videa, což výrazně zkracuje dobu zpracování.

Schopnost sdílet paměť mezi různými původy (doménami) však přináší potenciální bezpečnostní rizika. Primárním problémem je zneužití časových útoků, jako je Spectre.

Zranitelnost Spectre a její dopad

Spectre je třída zranitelností spekulativního provádění, které ovlivňují moderní procesory. Tyto zranitelnosti umožňují škodlivému kódu potenciálně přistupovat k datům, ke kterým by neměl mít přístup, včetně citlivých informací uložených v mezipaměti procesoru.

V kontextu webových prohlížečů může být Spectre zneužit škodlivým JavaScriptovým kódem k úniku dat z jiných webových stránek nebo dokonce ze samotného prohlížeče. SharedArrayBuffer, pokud není správně izolován, může být použit k přesnému měření časování operací, což usnadňuje zneužití zranitelností typu Spectre. Pečlivým vytvořením JavaScriptového kódu, který interaguje s SharedArrayBuffer a pozorováním časových rozdílů, by útočník mohl potenciálně odvodit obsah mezipaměti procesoru a extrahovat citlivé informace.

Zvažte scénář, kdy uživatel navštíví škodlivou webovou stránku, která spouští JavaScriptový kód navržený k zneužití Spectre. Bez izolace mezi původními zdroji by tento kód mohl potenciálně číst data z jiných webových stránek, které uživatel navštívil ve stejné relaci prohlížeče, jako jsou bankovní údaje nebo osobní informace.

Izolace mezi původními zdroji (COOP/COEP) na záchranu

Izolace mezi původními zdroji je bezpečnostní funkce, která zmírňuje rizika spojená s SharedArrayBuffer a zranitelnostmi typu Spectre. V podstatě vytváří přísnější bezpečnostní hranici mezi různými webovými stránkami a kontexty prohlížeče, čímž brání škodlivému kódu v přístupu k citlivým datům.

Izolace mezi původními zdroji se dosahuje nastavením dvou HTTP hlaviček odpovědi:

• Cross-Origin-Opener-Policy (COOP): Tato hlavička řídí, které jiné dokumenty mohou otevřít aktuální dokument jako vyskakovací okno. Nastavení na same-origin nebo same-origin-allow-popups izoluje aktuální původ od ostatních původů.
• Cross-Origin-Embedder-Policy (COEP): Tato hlavička brání dokumentu v načítání zdrojů z jiného původu, které mu explicitně neudělily povolení k načtení. Nastavení na require-corp vynucuje, že všechny zdroje z jiného původu musí být načteny s povoleným CORS (Cross-Origin Resource Sharing) a na HTML značkách, které tyto zdroje vkládají, musí být použit atribut crossorigin.

Nastavením těchto hlaviček efektivně izolujete své webové stránky od ostatních, což útočníkům výrazně ztěžuje zneužití zranitelností typu Spectre.

Jak funguje izolace mezi původními zdroji

Pojďme si rozebrat, jak COOP a COEP společně dosahují izolace mezi původními zdroji:

Cross-Origin-Opener-Policy (COOP)

Hlavička COOP řídí, jak aktuální dokument interaguje s jinými dokumenty, které otevírá jako vyskakovací okna nebo které ho otevírají jako vyskakovací okno. Má tři možné hodnoty:

• unsafe-none: Toto je výchozí hodnota a umožňuje, aby dokument byl otevřen jakýmkoli jiným dokumentem. Tím se v podstatě vypíná ochrana COOP.
• same-origin: Tato hodnota izoluje aktuální dokument tak, aby mohl být otevřen pouze dokumenty ze stejného původu. Pokud se dokument z jiného původu pokusí otevřít aktuální dokument, bude zablokován.
• same-origin-allow-popups: Tato hodnota umožňuje dokumentům ze stejného původu otevřít aktuální dokument jako vyskakovací okno, ale brání v tom dokumentům z různých původů. To je užitečné pro scénáře, kdy potřebujete otevírat vyskakovací okna ze stejného původu.

Nastavením COOP na same-origin nebo same-origin-allow-popups zabráníte dokumentům z různých původů v přístupu k objektu window vašich webových stránek, což zmenšuje plochu pro útok.

Například, pokud vaše webové stránky nastaví COOP na same-origin a škodlivá webová stránka se pokusí otevřít vaše stránky ve vyskakovacím okně, škodlivá stránka nebude moci přistupovat k objektu window vašich stránek ani k žádným jeho vlastnostem. To zabrání škodlivé stránce v manipulaci s obsahem vašich stránek nebo v krádeži citlivých informací.

Cross-Origin-Embedder-Policy (COEP)

Hlavička COEP řídí, které zdroje z jiného původu může aktuální dokument načíst. Má tři hlavní hodnoty:

• unsafe-none: Toto je výchozí hodnota a umožňuje dokumentu načíst jakýkoli zdroj z jiného původu. Tím se v podstatě vypíná ochrana COEP.
• require-corp: Tato hodnota vyžaduje, aby všechny zdroje z jiného původu byly načteny s povoleným CORS a na HTML značkách, které tyto zdroje vkládají, musí být použit atribut crossorigin. To znamená, že server hostující zdroj z jiného původu musí explicitně povolit vašim webovým stránkám načtení tohoto zdroje.
• credentialless: Podobné jako `require-corp`, ale vynechává odesílání přihlašovacích údajů (cookies, autorizační hlavičky) v požadavku. To je užitečné pro načítání veřejných zdrojů bez úniku informací specifických pro uživatele.

Hodnota require-corp je nejbezpečnější možností a doporučuje se pro většinu případů použití. Zajišťuje, že všechny zdroje z jiného původu jsou explicitně autorizovány k načtení vašimi webovými stránkami.

Při použití require-corp je třeba zajistit, aby všechny zdroje z jiného původu, které vaše webové stránky načítají, byly poskytovány s příslušnými hlavičkami CORS. To znamená, že server hostující zdroj musí do své odpovědi zahrnout hlavičku Access-Control-Allow-Origin, která specifikuje buď původ vašich webových stránek, nebo * (což umožňuje načtení zdroje jakémukoli původu, ale z bezpečnostních důvodů se obecně nedoporučuje).

Například, pokud vaše webové stránky načítají obrázek z CDN, server CDN musí do své odpovědi zahrnout hlavičku Access-Control-Allow-Origin s uvedením původu vašich webových stránek. Pokud server CDN tuto hlavičku nezahrne, obrázek se nenačte a vaše webové stránky zobrazí chybu.

Atribut crossorigin se používá na HTML značkách jako <img>, <script> a <link> k označení, že zdroj by měl být načten s povoleným CORS. Například:

<img src="https://example.com/image.jpg" crossorigin="anonymous">
<script src="https://example.com/script.js" crossorigin="anonymous">

Hodnota anonymous značí, že požadavek by měl být proveden bez odeslání přihlašovacích údajů (např. cookies). Pokud potřebujete odeslat přihlašovací údaje, můžete použít hodnotu use-credentials, ale musíte také zajistit, že server hostující zdroj umožňuje odeslání přihlašovacích údajů zahrnutím hlavičky Access-Control-Allow-Credentials: true ve své odpovědi.

Implementace izolace mezi původními zdroji

Implementace izolace mezi původními zdroji zahrnuje nastavení hlaviček COOP a COEP v odpovědích vašeho serveru. Konkrétní metoda pro nastavení těchto hlaviček závisí na vaší serverové technologii.

Příklady implementací

Zde jsou některé příklady, jak nastavit hlavičky COOP a COEP v různých serverových prostředích:

Apache

Přidejte následující řádky do vašeho souboru .htaccess:

Header set Cross-Origin-Opener-Policy "same-origin"
Header set Cross-Origin-Embedder-Policy "require-corp"

Nginx

Přidejte následující řádky do vašeho konfiguračního souboru Nginx:

add_header Cross-Origin-Opener-Policy "same-origin";
add_header Cross-Origin-Embedder-Policy "require-corp";

Node.js (Express)

app.use((req, res, next) => {
  res.setHeader("Cross-Origin-Opener-Policy", "same-origin");
  res.setHeader("Cross-Origin-Embedder-Policy", "require-corp");
  next();
});

Python (Flask)

@app.after_request
def add_security_headers(response):
    response.headers['Cross-Origin-Opener-Policy'] = 'same-origin'
    response.headers['Cross-Origin-Embedder-Policy'] = 'require-corp'
    return response

PHP

header('Cross-Origin-Opener-Policy: same-origin');
header('Cross-Origin-Embedder-Policy: require-corp');

Nezapomeňte tyto příklady přizpůsobit svému konkrétnímu serverovému prostředí a konfiguraci.

Ověření izolace mezi původními zdroji

Po implementaci izolace mezi původními zdroji je klíčové ověřit, že funguje správně. Můžete to udělat kontrolou hlaviček COOP a COEP ve vývojářských nástrojích vašeho prohlížeče. Otevřete záložku Síť a prozkoumejte hlavičky odpovědi pro hlavní dokument vašich webových stránek. Měli byste vidět hlavičky Cross-Origin-Opener-Policy a Cross-Origin-Embedder-Policy s hodnotami, které jste nakonfigurovali.

Můžete také použít vlastnost crossOriginIsolated v JavaScriptu ke kontrole, zda jsou vaše webové stránky izolovány mezi původními zdroji:

if (crossOriginIsolated) {
  console.log("Izolace mezi původními zdroji je povolena.");
} else {
  console.warn("Izolace mezi původními zdroji NENÍ povolena.");
}

Pokud je crossOriginIsolated true, znamená to, že izolace mezi původními zdroji je povolena a můžete bezpečně používat SharedArrayBuffer.

Řešení běžných problémů

Implementace izolace mezi původními zdroji může být někdy náročná, zejména pokud vaše webové stránky načítají mnoho zdrojů z jiného původu. Zde jsou některé běžné problémy a jak je řešit:

• Zdroje se nenačítají: Pokud používáte COEP: require-corp, ujistěte se, že všechny zdroje z jiného původu jsou poskytovány se správnými hlavičkami CORS (Access-Control-Allow-Origin) a že používáte atribut crossorigin na HTML značkách, které tyto zdroje vkládají.
• Chyby smíšeného obsahu: Ujistěte se, že všechny zdroje jsou načítány přes HTTPS. Míchání zdrojů HTTP a HTTPS může způsobit bezpečnostní varování a zabránit načítání zdrojů.
• Problémy s kompatibilitou: Starší prohlížeče nemusí podporovat COOP a COEP. Zvažte použití knihovny pro detekci funkcí nebo polyfillu pro zajištění záložního chování pro starší prohlížeče. Plné bezpečnostní výhody jsou však realizovány pouze v podporovaných prohlížečích.
• Dopad na skripty třetích stran: Některé skripty třetích stran nemusí být kompatibilní s izolací mezi původními zdroji. Po implementaci izolace důkladně otestujte své webové stránky, abyste se ujistili, že všechny skripty třetích stran fungují správně. Možná budete muset kontaktovat poskytovatele skriptů třetích stran a požádat o podporu pro CORS a COEP.

Alternativy k SharedArrayBuffer

Ačkoli SharedArrayBuffer nabízí významné výkonnostní výhody, není to vždy správné řešení, zejména pokud se obáváte složitosti implementace izolace mezi původními zdroji. Zde jsou některé alternativy k zvážení:

• Předávání zpráv: Použijte API postMessage k posílání dat mezi různými kontexty prohlížeče. Toto je bezpečnější alternativa k SharedArrayBuffer, protože nezahrnuje přímé sdílení paměti. Může však být méně efektivní pro přenos velkých objemů dat.
• WebAssembly: WebAssembly (Wasm) je binární instrukční formát, který lze spouštět ve webových prohlížečích. Nabízí téměř nativní výkon a lze jej použít k provádění výpočetně náročných úkolů bez spoléhání na SharedArrayBuffer. Wasm může také poskytnout bezpečnější prováděcí prostředí než JavaScript.
• Service Workers: Service Workery lze použít k provádění úkolů na pozadí a ke cachování dat. Lze je také použít k zachycování síťových požadavků a úpravě odpovědí. I když přímo nenahrazují SharedArrayBuffer, mohou být použity ke zlepšení výkonu vašich webových stránek bez spoléhání na sdílenou paměť.

Výhody izolace mezi původními zdroji

Kromě umožnění bezpečného použití SharedArrayBuffer nabízí izolace mezi původními zdroji několik dalších výhod:

• Zvýšená bezpečnost: Zmírňuje rizika spojená se zranitelnostmi typu Spectre a dalšími časovými útoky.
• Zlepšený výkon: Umožňuje vám používat SharedArrayBuffer ke zlepšení výkonu výpočetně náročných úkolů.
• Větší kontrola nad bezpečnostním postojem vašich webových stránek: Dává vám větší kontrolu nad tím, které zdroje z jiného původu mohou vaše webové stránky načítat.
• Příprava na budoucnost: Jelikož se webová bezpečnost neustále vyvíjí, izolace mezi původními zdroji poskytuje pevný základ pro budoucí bezpečnostní vylepšení.

Závěr

Izolace mezi původními zdroji (COOP/COEP) je klíčovou bezpečnostní funkcí pro moderní webový vývoj, zejména při použití SharedArrayBuffer. Implementací izolace mezi původními zdroji můžete zmírnit rizika spojená se zranitelnostmi typu Spectre a dalšími časovými útoky a zároveň využívat výkonnostních výhod, které SharedArrayBuffer nabízí. I když implementace může vyžadovat pečlivé zvážení načítání zdrojů z jiného původu a potenciálních problémů s kompatibilitou, bezpečnostní výhody a zvýšení výkonu za to úsilí stojí. Jak se web vyvíjí, přijímání osvědčených bezpečnostních postupů, jako je izolace mezi původními zdroji, se stává stále důležitějším pro ochranu uživatelských dat a zajištění bezpečného online prostředí.

Další čtení

• A guide to enable cross-origin isolation
• Cross-Origin-Opener-Policy (COOP) - HTTP | MDN
• Cross-Origin-Embedder-Policy (COEP) - HTTP | MDN