Päritoluülene eraldamine: JavaScripti SharedArrayBufferi turvamine

Pidevalt arenevas veebiarenduse maailmas on turvalisus endiselt esmatähtis. Võimsate funktsioonide, nagu SharedArrayBuffer, lisamine JavaScripti tõi kaasa märkimisväärseid jõudluse parandusi, kuid avas ka uusi teid potentsiaalsetele turvaaukudele. Nende riskide leevendamiseks võeti kasutusele päritoluülese eraldamise (Cross-Origin Isolation, COOP/COEP) kontseptsioon. See artikkel süveneb päritoluülese eraldamise keerukustesse, selle seosesse SharedArrayBuffer'iga, turvamõjudesse ja sellesse, kuidas seda oma veebirakendustes tõhusalt rakendada.

SharedArrayBufferi mõistmine

SharedArrayBuffer on JavaScripti objekt, mis võimaldab mitmel agendil (nt veebitöötajatel või erinevatel brauseri kontekstidel) pääseda juurde samale mälule ja seda muuta. See võimaldab tõhusat andmete jagamist ja paralleeltöötlust, mis on eriti kasulik arvutusmahukate ülesannete puhul, nagu pilditöötlus, video kodeerimine/dekodeerimine ja mängude arendamine.

Kujutage näiteks ette brauseris töötavat videotöötlusrakendust. Kasutades SharedArrayBuffer'it, saavad põhilõim ja mitu Web Workerit samaaegselt töötada video erinevate kaadritega, vähendades oluliselt töötlemisaega.

Samas tekitab mälu jagamise võime erinevate päritolude (domeenide) vahel potentsiaalseid turvariske. Peamine murekoht on ajastusrünnakute, näiteks Spectre'i, ärakasutamine.

Spectre'i haavatavus ja selle mõju

Spectre on spekulatiivse täitmise haavatavuste klass, mis mõjutab kaasaegseid protsessoreid. Need haavatavused võimaldavad pahatahtlikul koodil potentsiaalselt juurde pääseda andmetele, millele tal ei tohiks juurdepääsu olla, sealhulgas protsessori vahemällu salvestatud tundlikule teabele.

Veebibrauserite kontekstis saab Spectre'it ära kasutada pahatahtliku JavaScripti koodiga, et lekitada andmeid teistelt veebisaitidelt või isegi brauserist endast. SharedArrayBuffer'it, kui see pole korralikult eraldatud, saab kasutada operatsioonide ajastuse täpseks mõõtmiseks, mis teeb Spectre'i-laadsete haavatavuste ärakasutamise lihtsamaks. Hoolikalt koostatud JavaScripti koodiga, mis suhtleb SharedArrayBuffer'iga ja jälgib ajastuserinevusi, saaks ründaja potentsiaalselt tuletada protsessori vahemälu sisu ja eraldada tundlikku teavet.

Kujutage ette stsenaariumi, kus kasutaja külastab pahatahtlikku veebisaiti, mis käivitab Spectre'i ärakasutamiseks mõeldud JavaScripti koodi. Ilma päritoluülese eraldamiseta võiks see kood potentsiaalselt lugeda andmeid teistelt veebisaitidelt, mida kasutaja on samas brauseriseansis külastanud, näiteks pangaandmeid või isiklikku teavet.

Päritoluülene eraldamine (COOP/COEP) tuleb appi

Päritoluülene eraldamine on turvafunktsioon, mis leevendab SharedArrayBuffer'i ja Spectre'i-laadsete haavatavustega seotud riske. See loob sisuliselt rangema turvapiiri erinevate veebisaitide ja brauserikontekstide vahele, takistades pahatahtlikul koodil tundlikele andmetele juurdepääsu.

Päritoluülene eraldamine saavutatakse kahe HTTP vastuse päise seadistamisega:

• Cross-Origin-Opener-Policy (COOP): see päis kontrollib, millised teised dokumendid saavad praegust dokumenti hüpikaknana avada. Selle seadistamine väärtusele same-origin või same-origin-allow-popups eraldab praeguse päritolu teistest päritoludest.
• Cross-Origin-Embedder-Policy (COEP): see päis takistab dokumendil laadimast päritoluüleseid ressursse, mis ei anna dokumendile selgesõnaliselt luba nende laadimiseks. Selle seadistamine väärtusele require-corp tagab, et kõik päritoluülesed ressursid peavad olema toodud lubatud CORS-iga (Cross-Origin Resource Sharing) ja neid manustavatel HTML-märgenditel peab olema atribuut crossorigin.

Nende päiste seadistamisega eraldate oma veebisaidi tõhusalt teistest veebisaitidest, muutes ründajatel Spectre'i-laadsete haavatavuste ärakasutamise oluliselt keerulisemaks.

Kuidas päritoluülene eraldamine töötab

Vaatame lähemalt, kuidas COOP ja COEP koos töötavad, et saavutada päritoluülene eraldamine:

Cross-Origin-Opener-Policy (COOP)

COOP-päis kontrollib, kuidas praegune dokument suhtleb teiste dokumentidega, mida ta avab hüpikakendena või mis avavad teda hüpikaknana. Sellel on kolm võimalikku väärtust:

• unsafe-none: see on vaikeväärtus ja lubab dokumendi avada mis tahes muul dokumendil. See lülitab COOP-kaitse sisuliselt välja.
• same-origin: see väärtus piirab praeguse dokumendi avamist ainult sama päritoluga dokumentidele. Kui eri päritoluga dokument proovib praegust dokumenti avada, siis see blokeeritakse.
• same-origin-allow-popups: see väärtus lubab sama päritoluga dokumentidel avada praegust dokumenti hüpikaknana, kuid takistab eri päritoluga dokumentidel seda tegemast. See on kasulik stsenaariumide puhul, kus peate avama sama päritoluga hüpikaknaid.

Seadistades COOP väärtusele same-origin või same-origin-allow-popups, takistate eri päritoluga dokumentidel juurdepääsu oma veebisaidi aknaobjektile, mis vähendab ründepinda.

Näiteks, kui teie veebisait seab COOP väärtuseks same-origin ja pahatahtlik veebisait proovib teie veebisaiti hüpikaknas avada, ei saa pahatahtlik veebisait juurdepääsu teie veebisaidi window objektile ega ühelegi selle omadusele. See takistab pahatahtlikul veebisaidil teie veebisaidi sisu manipuleerimast või tundlikku teavet varastamast.

Cross-Origin-Embedder-Policy (COEP)

COEP-päis kontrollib, milliseid päritoluüleseid ressursse saab praegune dokument laadida. Sellel on kolm peamist väärtust:

• unsafe-none: see on vaikeväärtus ja lubab dokumendil laadida mis tahes päritoluülest ressurssi. See lülitab COEP-kaitse sisuliselt välja.
• require-corp: see väärtus nõuab, et kõik päritoluülesed ressursid peavad olema toodud lubatud CORS-iga ja neid manustavatel HTML-märgenditel peab olema atribuut crossorigin. See tähendab, et päritoluülest ressurssi majutav server peab selgesõnaliselt lubama teie veebisaidil ressursi laadida.
• credentialless: sarnane require-corp'iga, kuid jätab päringust välja mandaadid (küpsised, autoriseerimispäised). See on kasulik avalike ressursside laadimiseks ilma kasutajapõhist teavet lekitamata.

Väärtus require-corp on kõige turvalisem valik ja seda soovitatakse enamiku kasutusjuhtude jaoks. See tagab, et kõik päritoluülesed ressursid on teie veebisaidi poolt laadimiseks selgesõnaliselt volitatud.

Kasutades require-corp'i, peate tagama, et kõik teie veebisaidi laaditavad päritoluülesed ressursid serveeritakse õigete CORS-päistega. See tähendab, et ressurssi majutav server peab oma vastusesse lisama päise Access-Control-Allow-Origin, määrates kas teie veebisaidi päritolu või * (mis lubab ressursi laadida mis tahes päritolul, kuid mida turvakaalutlustel üldiselt ei soovitata).

Näiteks, kui teie veebisait laadib pildi CDN-ist, peab CDN-server oma vastusesse lisama päise Access-Control-Allow-Origin, määrates teie veebisaidi päritolu. Kui CDN-server seda päist ei lisa, siis pilti ei laadita ja teie veebisait kuvab vea.

Atribuuti crossorigin kasutatakse HTML-märgenditel nagu <img>, <script> ja <link>, et näidata, et ressurss tuleks tuua lubatud CORS-iga. Näiteks:

<img src="https://example.com/image.jpg" crossorigin="anonymous">
<script src="https://example.com/script.js" crossorigin="anonymous">

Väärtus anonymous näitab, et päring tuleks teha ilma mandaate (nt küpsiseid) saatmata. Kui teil on vaja mandaate saata, võite kasutada väärtust use-credentials, kuid peate ka tagama, et ressurssi majutav server lubab mandaate saata, lisades oma vastusesse päise Access-Control-Allow-Credentials: true.

Päritoluülese eraldamise rakendamine

Päritoluülese eraldamise rakendamine hõlmab COOP- ja COEP-päiste seadistamist teie serveri vastustes. Nende päiste seadistamise konkreetne meetod sõltub teie serveritehnoloogiast.

Rakendamise näited

Siin on mõned näited, kuidas seadistada COOP- ja COEP-päiseid erinevates serverikeskkondades:

Apache

Lisage järgmised read oma .htaccess faili:

Header set Cross-Origin-Opener-Policy "same-origin"
Header set Cross-Origin-Embedder-Policy "require-corp"

Nginx

Lisage järgmised read oma Nginxi konfiguratsioonifaili:

add_header Cross-Origin-Opener-Policy "same-origin";
add_header Cross-Origin-Embedder-Policy "require-corp";

Node.js (Express)

app.use((req, res, next) => {
  res.setHeader("Cross-Origin-Opener-Policy", "same-origin");
  res.setHeader("Cross-Origin-Embedder-Policy", "require-corp");
  next();
});

Python (Flask)

@app.after_request
def add_security_headers(response):
    response.headers['Cross-Origin-Opener-Policy'] = 'same-origin'
    response.headers['Cross-Origin-Embedder-Policy'] = 'require-corp'
    return response

PHP

header('Cross-Origin-Opener-Policy: same-origin');
header('Cross-Origin-Embedder-Policy: require-corp');

Ärge unustage kohandada neid näiteid vastavalt oma konkreetsele serverikeskkonnale ja konfiguratsioonile.

Päritoluülese eraldamise kontrollimine

Pärast päritoluülese eraldamise rakendamist on oluline kontrollida, kas see töötab õigesti. Saate seda teha, kontrollides COOP- ja COEP-päiseid oma brauseri arendajatööriistades. Avage vahekaart Network (Võrk) ja uurige oma veebisaidi põhidokumendi vastusepäiseid. Peaksite nägema päiseid Cross-Origin-Opener-Policy ja Cross-Origin-Embedder-Policy teie seadistatud väärtustega.

Samuti saate JavaScriptis kasutada omadust crossOriginIsolated, et kontrollida, kas teie veebisait on päritoluüleselt eraldatud:

if (crossOriginIsolated) {
  console.log("Päritoluülene eraldamine on lubatud.");
} else {
  console.warn("Päritoluülene eraldamine EI OLE lubatud.");
}

Kui crossOriginIsolated on true, tähendab see, et päritoluülene eraldamine on lubatud ja saate turvaliselt kasutada SharedArrayBuffer'it.

Levinud probleemide tõrkeotsing

Päritoluülese eraldamise rakendamine võib mõnikord olla keeruline, eriti kui teie veebisait laadib palju päritoluüleseid ressursse. Siin on mõned levinud probleemid ja nende tõrkeotsingu viisid:

• Ressursside laadimine ebaõnnestub: kui kasutate COEP: require-corp, veenduge, et kõik päritoluülesed ressursid serveeritakse õigete CORS-päistega (Access-Control-Allow-Origin) ja et kasutate atribuuti crossorigin neid manustavatel HTML-märgenditel.
• Segasisu vead: veenduge, et kõik ressursid laaditakse üle HTTPS-i. HTTP- ja HTTPS-ressursside segamine võib põhjustada turvahoiatusi ja takistada ressursside laadimist.
• Ühilduvusprobleemid: vanemad brauserid ei pruugi COOP-d ja COEP-d toetada. Kaaluge funktsioonituvastuse teegi või polüfilli kasutamist, et pakkuda vanematele brauseritele tagavaralahendust. Kuid täielikud turvahüved realiseeruvad ainult toetavates brauserites.
• Mõju kolmandate osapoolte skriptidele: mõned kolmandate osapoolte skriptid ei pruugi olla päritoluülese eraldamisega ühilduvad. Testige oma veebisaiti põhjalikult pärast päritoluülese eraldamise rakendamist, et veenduda kõigi kolmandate osapoolte skriptide korrektses toimimises. Võimalik, et peate võtma ühendust kolmandate osapoolte skriptide pakkujatega, et taotleda tuge CORS-ile ja COEP-le.

Alternatiivid SharedArrayBufferile

Kuigi SharedArrayBuffer pakub märkimisväärseid jõudluseeliseid, ei ole see alati õige lahendus, eriti kui olete mures päritoluülese eraldamise rakendamise keerukuse pärast. Siin on mõned alternatiivid, mida kaaluda:

• Sõnumite edastamine: kasutage postMessage API-d andmete saatmiseks erinevate brauserikontekstide vahel. See on turvalisem alternatiiv SharedArrayBuffer'ile, kuna see ei hõlma mälu otsest jagamist. Samas võib see olla suurte andmemahtude edastamisel vähem tõhus.
• WebAssembly: WebAssembly (Wasm) on binaarne käsuformaat, mida saab veebibrauserites käivitada. See pakub peaaegu natiivset jõudlust ja seda saab kasutada arvutusmahukate ülesannete täitmiseks ilma SharedArrayBuffer'ile tuginemata. Wasm võib pakkuda ka turvalisemat täitmiskeskkonda kui JavaScript.
• Service Workerid: Service Workereid saab kasutada taustaülesannete täitmiseks ja andmete vahemällu salvestamiseks. Neid saab kasutada ka võrgupäringute pealtkuulamiseks ja vastuste muutmiseks. Kuigi nad ei asenda otse SharedArrayBuffer'it, saab neid kasutada teie veebisaidi jõudluse parandamiseks ilma jagatud mälule tuginemata.

Päritoluülese eraldamise eelised

Lisaks SharedArrayBuffer'i turvalise kasutamise võimaldamisele pakub päritoluülene eraldamine mitmeid muid eeliseid:

• Täiustatud turvalisus: see leevendab Spectre'i-laadsete haavatavuste ja muude ajastusrünnakutega seotud riske.
• Parem jõudlus: see võimaldab teil kasutada SharedArrayBuffer'it arvutusmahukate ülesannete jõudluse parandamiseks.
• Rohkem kontrolli oma veebisaidi turvaasendi üle: see annab teile rohkem kontrolli selle üle, milliseid päritoluüleseid ressursse teie veebisait saab laadida.
• Tulevikukindlus: kuna veebiturvalisus areneb pidevalt, pakub päritoluülene eraldamine kindla aluse tulevasteks turvatäiustusteks.

Kokkuvõte

Päritoluülene eraldamine (COOP/COEP) on kaasaegse veebiarenduse kriitiline turvafunktsioon, eriti kui kasutatakse SharedArrayBuffer'it. Rakendades päritoluülest eraldamist, saate leevendada Spectre'i-laadsete haavatavuste ja muude ajastusrünnakutega seotud riske, kasutades samal ajal ära SharedArrayBuffer'i pakutavaid jõudluseeliseid. Kuigi rakendamine võib nõuda päritoluüleste ressursside laadimise ja võimalike ühilduvusprobleemide hoolikat kaalumist, on turvahüved ja jõudluse kasv pingutust väärt. Veebi arenedes muutub turvalisuse parimate tavade, nagu päritoluülese eraldamise, omaksvõtmine kasutajate andmete kaitsmisel ning turvalise ja kindla veebikogemuse tagamisel üha olulisemaks.

Lisalugemist

• Juhend päritoluülese eraldamise lubamiseks
• Cross-Origin-Opener-Policy (COOP) - HTTP | MDN
• Cross-Origin-Embedder-Policy (COEP) - HTTP | MDN