मेल्टडाउन और स्पेक्टर कमजोरियों के खिलाफ Google क्रोम को सुरक्षित करें
जैसा कि आप पहले से ही जानते हैं, पिछले एक दशक के दौरान जारी किए गए सभी इंटेल सीपीयू एक गंभीर मुद्दे से प्रभावित हैं। एक विशेष रूप से विकृत कोड का उपयोग किसी अन्य प्रक्रिया के निजी डेटा को चुराने के लिए किया जा सकता है, जिसमें संवेदनशील डेटा जैसे पासवर्ड, सुरक्षा कुंजी आदि शामिल हैं। यहां तक कि जावास्क्रिप्ट सक्षम ब्राउज़र को भी अटैक वेक्टर के रूप में इस्तेमाल किया जा सकता है। यदि आप Google क्रोम/क्रोमियम उपयोगकर्ता हैं, तो आप निम्न कार्य कर सकते हैं।
यदि आप मेल्टडाउन और स्पेक्टर कमजोरियों के बारे में नहीं जानते हैं, तो हमने इन दो लेखों में उन्हें विस्तार से कवर किया है:
- Microsoft मेल्टडाउन और स्पेक्टर CPU दोषों के लिए आपातकालीन सुधार कर रहा है
- यहां मेल्टडाउन और स्पेक्टर सीपीयू खामियों के लिए विंडोज 7 और 8.1 फिक्स हैं
संक्षेप में, मेल्टडाउन और स्पेक्टर दोनों कमजोरियां एक प्रक्रिया को किसी अन्य प्रक्रिया के निजी डेटा को पढ़ने की अनुमति देती हैं, यहां तक कि एक वर्चुअल मशीन के बाहर से भी। यह इंटेल के कार्यान्वयन के कारण संभव है कि कैसे उनके सीपीयू डेटा को प्रीफेच करते हैं। इसे केवल OS को पैच करके ठीक नहीं किया जा सकता है। फिक्स में ओएस कर्नेल को अपडेट करना, साथ ही एक सीपीयू माइक्रोकोड अपडेट और संभवत: कुछ उपकरणों के लिए यूईएफआई/बीआईओएस/फर्मवेयर अपडेट भी शामिल है, ताकि शोषण को पूरी तरह से कम किया जा सके।
हमला केवल जावास्क्रिप्ट के साथ भी एक ब्राउज़र का उपयोग करके किया जा सकता है।
आज, Google Chrome का एक नया संस्करण आ गया है। क्रोम 63.0.3239.132 कई सुरक्षा सुधारों के साथ आता है, लेकिन इसमें मेल्टडाउन और स्पेक्टर कमजोरियों के लिए कोई विशेष सुधार शामिल नहीं है। आप उल्लिखित कमजोरियों से सुरक्षा के लिए पूर्ण साइट अलगाव को मैन्युअल रूप से सक्षम कर सकते हैं।
फुल साइट आइसोलेशन क्या है
साइट अलगाव क्रोम में एक सुरक्षा सुविधा है जो कुछ प्रकार के सुरक्षा बग के खिलाफ अतिरिक्त सुरक्षा प्रदान करती है। यह अविश्वसनीय वेबसाइटों के लिए अन्य वेबसाइटों पर आपके खातों से जानकारी तक पहुंचना या चोरी करना कठिन बना देता है।
वेबसाइटें आमतौर पर ब्राउज़र के अंदर एक-दूसरे के डेटा तक नहीं पहुंच सकतीं, कोड के लिए धन्यवाद जो समान मूल नीति को लागू करता है। कभी-कभी, इस कोड में सुरक्षा बग पाए जाते हैं और दुर्भावनापूर्ण वेबसाइटें अन्य वेबसाइटों पर हमला करने के लिए इन नियमों को दरकिनार करने का प्रयास कर सकती हैं। Chrome टीम का लक्ष्य ऐसी बग्स को जल्द से जल्द ठीक करना है।
साइट अलगाव ऐसी कमजोरियों के सफल होने की संभावना कम करने के लिए रक्षा की दूसरी पंक्ति प्रदान करता है। यह सुनिश्चित करता है कि विभिन्न वेबसाइटों के पृष्ठों को हमेशा अलग-अलग प्रक्रियाओं में रखा जाता है, प्रत्येक एक सैंडबॉक्स में चलता है जो उस प्रक्रिया को सीमित करता है जिसे करने की अनुमति है। यह प्रक्रिया को अन्य साइटों से कुछ प्रकार के संवेदनशील दस्तावेज़ प्राप्त करने से भी रोकता है। नतीजतन, एक दुर्भावनापूर्ण वेबसाइट को अन्य साइटों से डेटा चोरी करना अधिक कठिन होगा, भले ही वह अपनी प्रक्रिया में कुछ नियमों को तोड़ सकता हो।
Google क्रोम 64 में डिफ़ॉल्ट रूप से पूर्ण साइट अलगाव सक्षम हो जाएगा।
Google Chrome की वर्तमान रिलीज़ में, आप पूर्ण साइट अलगाव को मैन्युअल रूप से सक्षम कर सकते हैं। यह मेल्टडाउन और स्पेक्टर कमजोरियों के खिलाफ अतिरिक्त सुरक्षा जोड़ देगा।
मेल्टडाउन और स्पेक्टर कमजोरियों के खिलाफ Google क्रोम को सुरक्षित करें
- गूगल क्रोम खोलें।
- प्रकार
क्रोम: // झंडे/# सक्षम-साइट-प्रति-प्रक्रिया
एड्रेस बार में। - ध्वज विवरण के बगल में स्थित बटन का उपयोग करके ध्वज "सख्त साइट अलगाव" सक्षम करें।
ध्यान दें कि पूर्ण साइट अलगाव को सक्षम करने से स्मृति उपयोग में वृद्धि होगी - Google बताता है कि यह सामान्य से 10% -20% अधिक हो सकता है। व्यवस्थापक सभी साइटों के लिए क्रोम के साइट अलगाव को चालू करना चुन सकते हैं या अपनी स्वयं की रेंडरिंग प्रक्रिया में चलने के लिए वेबसाइटों की सूची का चयन कर सकते हैं।
यह उल्लेखनीय है कि फ़ायरफ़ॉक्स एक अलग सुरक्षा तंत्र का उपयोग कर रहा है। यदि आप एक फ़ायरफ़ॉक्स उपयोगकर्ता हैं, तो कृपया निम्नलिखित लेख देखें:
फ़ायरफ़ॉक्स 57.0.4 मेल्टडाउन और स्पेक्टर अटैक वर्कअराउंड के साथ जारी किया गया
बस, इतना ही।