Discusión:Aislamiento del sitio

¿Sabías que la nominación?

A continuación se incluye una discusión archivada sobre la nominación de DYK del artículo que se incluye a continuación. No modifique esta página. Los comentarios posteriores deben realizarse en la página de discusión correspondiente (como la página de discusión de esta nominación, la página de discusión del artículo o la página de discusión de Wikipedia:¿Sabías que ?), a menos que haya consenso para reabrir la discusión en esta página. No se deben realizar más modificaciones en esta página .

El resultado fue: promovido por AirshipJungleman29  discusión  01:30, 31 enero 2024 (UTC) [ responder ]

(

• Comentar o ver
• Historial del artículo

)

• ... ¿que el aislamiento del sitio combate Spectre y Meltdown a cambio de un aumento del 10 % en el uso de RAM? Fuente: https://www.theverge.com/2018/7/12/17564064/google-chrome-ram-usage-memory-increase-spectre-fixes
  • ALT1 : ... ¿ese aislamiento de sitios , una característica de seguridad que se propuso en 2009, finalmente se agregó a Chrome en 2019? Fuente: https://www.usenix.org/conference/usenixsecurity19/presentation/reis
  • ALT2 : ... ¿el aislamiento de sitios en Google Chrome fue responsable de un aumento del 10 % en el uso de RAM ? Fuente: https://www.theverge.com/2018/7/12/17564064/google-chrome-ram-usage-memory-increase-spectre-fixes
  • Reseñado : Plantilla:¿Sabías que nominaciones/Lore Maria Peschel-Gutzeit?
  • Comentario : Abierto a mejores ideas para ganchos.

Creado por Sohom Datta  ( discusión ). Autonominado a las 19:43, 30 de diciembre de 2023 (UTC). Los cambios de gancho posteriores a la promoción para esta nominación se registrarán en Plantilla discusión:¿Sabías que nominaciones/Aislamiento del sitio ? Considere observar esta nominación, si tiene éxito, hasta que el gancho aparezca en la página principal. [ responder ]

• El artículo es lo suficientemente nuevo, lo suficientemente largo, QPQ está hecho, las fuentes son buenas, la prosa es buena. No noto ningún error de copia. Creo que los ganchos necesitan un poco de trabajo; el principal me resultó demasiado difícil de entender (no había oído hablar del aislamiento del sitio antes de leer el artículo).

¿Qué opinas de esto: ALT3 : ... que añadir la función de seguridad del navegador, el aislamiento del sitio, hizo que Google Chrome utilizara un 10% más de RAM ? toobigtokale ( discusión ) 03:36, 29 de enero de 2024 (UTC) [ responder ]

ALT3 me parece bien :) Sohom ( discusión ) 06:36 29 ene 2024 (UTC) [ responder ]

Aprobado para ALT3 . toobigtokale ( discusión ) 11:07 29 ene 2024 (UTC) [ responder ]

Jerga

Este artículo puede beneficiarse enormemente si se define lo que significa "sitio", "sitio de origen cruzado" (probablemente este último debería cambiarse a algo como "página web de origen cruzado", ya que no se refiere al sitio en el sentido de origen) e "instancia" (que se refiere a una instancia de renderizador como una pestaña o ventana y no a una instancia de navegador). Consulte también https://www.chromium.org/developers/design-documents/site-isolation/ -- PaulT2022 ( discusión ) 22:54, 3 de febrero de 2024 (UTC) [ responder ]

Además, el proceso de renderización singular interactuaría con otros servicios privilegiados cuando fuera necesario para ejecutar acciones elevadas al visualizar una página web. es incorrecto según el enlace de Chromium anterior ('Chrome hizo un esfuerzo por colocar páginas de diferentes sitios web en diferentes procesos de renderización cuando fue posible') y el artículo de 2013 al que se hace referencia en el artículo (consulte la tabla en la pág. 80). Debería ser algo así como 'singular por página web renderizada'. PaulT2022 ( discusión ) 00:23 4 feb 2024 (UTC) [ responder ]

@ PaulT2022 Si echas un vistazo a la sección "Progreso del proyecto" del mismo enlace, se menciona que la gran mayoría de las navegaciones tradicionales (clics en enlaces, cualquier otra interacción) llevarían a que el proceso de renderización se compartiera entre los orígenes. Si bien el mecanismo para separar los sitios existía, no se usaba mucho o en absoluto; el aislamiento de sitios obligaba a que la arquitectura fuera un proceso por renderizador de manera predeterminada.

En cuanto a la confusión con respecto a "sitio", la definición de Chrom(e|ium) se refiere a la separación eTLD +1, mientras que Reis 2009 y Firefox utilizan el origen completo como identificador de sitio. Estoy de acuerdo en que al artículo le faltan algunos matices en esa área, y veré cómo puedo agregarlo sin agregar más jerga (lo cual es difícil) :) Sohom ( discusión ) 08:26, 4 de febrero de 2024 (UTC) [ responder ]

No se usó mucho/en absoluto, el aislamiento del sitio forzó a que la arquitectura fuera un proceso por renderizador de manera predeterminada ; no creo que este fuera el caso. Chromium usó procesos de renderizador aislados para cada sitio web desde el principio ("intercambió los procesos de renderizador para las navegaciones entre sitios que se iniciaron en el proceso del navegador (como las navegaciones de omnibox o los marcadores)"). Según el artículo de 2013, otros navegadores también lo hicieron en 2013. El problema era que los iframes incrustados en la página se renderizaban mediante el mismo proceso, y el proceso se reutilizaba al navegar a otro sitio, lo que resultó en que los scripts potencialmente tuvieran acceso a la misma memoria que se usó para renderizar una página desde otro origen anteriormente. PaulT2022 ( discusión ) 14:31, 4 de febrero de 2024 (UTC) [ responder ]

@ PaulT2022 Estoy de acuerdo con lo que dices, no estoy discutiendo que se crearon nuevos renderizadores para las navegaciones de marcadores y omnibox. Sin embargo, eso no explica la gran mayoría de las navegaciones en la web (¿cuántas veces buscas algo específico en una nueva pestaña (crea un nuevo proceso) frente a hacer clic en un enlace (reutiliza los procesos del renderizador)? El uso del modelo de proceso por instancia de renderización para el 2% de las navegaciones y el modelo de proceso por instancia de navegación para el resto, no cambia el hecho de que el modelo predominante sigue siendo el de proceso por instancia de navegación. Sohom ( discusión ) 16:05, 4 de febrero de 2024 (UTC) [ responder ]

Estoy de acuerdo con esto (aunque no cuantitativamente con el 2%, ya que también es un proceso nuevo para cada navegación/búsqueda de la barra de direcciones).

Lo único que digo es que no resulta evidente a partir del texto, especialmente para alguien que no esté familiarizado con el contexto, que "singular" signifique proceso por instancia de navegación. PaulT2022 ( discusión ) 16:16 4 feb 2024 (UTC) [ responder ]

Reseña de GA

Esta reseña se transcribe de Talk:Site insulation/GA1 . El enlace de edición de esta sección se puede utilizar para agregar comentarios a la reseña.

Revisor: RoySmith  ( charla · contribuciones ) 17:04, 4 de marzo de 2024 (UTC) [ respuesta ]

@ Sohom Datta : revisión inicial. RoySmith (discusión) 17:04 4 mar 2024 (UTC) [ responder ]

• "Tras la divulgación de las vulnerabilidades Spectre y Meltdown al público", es una forma extraña de decirlo. "Divulgáis" software. Creo que lo que querías decir aquí es "divulgación" o algo similar.

 Hecho

• "Si bien antes acceder a la memoria restringida era un proceso relativamente complejo que requería un renderizador comprometido, la vulnerabilidad de Spectre hizo que fuera mucho más fácil acceder a la memoria arbitraria". Yo lo reescribiría como "Spectre hizo que fuera mucho más fácil acceder a la memoria arbitraria; antes era un proceso complicado que requería un renderizador comprometido". La siguiente oración ("Esto expuso...") es un poco enrevesada. Estoy particularmente confundido por lo que se supone que significa "usar JavaScript".

He intentado simplificar esto.

• "A lo largo de los años, se han propuesto múltiples versiones de la arquitectura de aislamiento de sitios". Esta oración no dice mucho. La omitiría y comenzaría con "En 2009, Reis y otros..."

 Hecho

• "Esto fue mejorado posteriormente...", ¿qué tal "Esto fue mejorado en <el año> por el navegador de investigación Gazelle..."

 Hecho

• "Basado en su principio web" explica qué es un "principio web".

La parte después de la coma explica brevemente qué es un web-principal.

• "el OP... IBOS, Tahoma y el navegador SubOS": navegadores (plural)

 Hecho

• "Google Chrome publicó un artículo en una conferencia" Yo diría que como "Reis, et al del proyecto Google Chrome presentaron un artículo en USENIX ..."

 Hecho

• "la idea de los sitios web enmarca" Supongo que quisiste decir "sitios web" (posesivo plural) o "un sitio web".

 Hecho

• "Una característica que había sido sugerida por el navegador web Gazelle" no la sugieren los navegadores, sino las personas. ¿Quizás "usada por Gazelle" o "sugerida por los autores de Gazelle"?

 Hecho

• "requiere más de 4000 confirmaciones en un período de 5 años" evitar la repetición, por lo que "más de 4000 confirmaciones de 320 contribuyentes en un período de..."

 Hecho

• "La implementación del aislamiento de sitios de Chrome les permitió" Chrome no es una persona, por lo que no se puede usar "ellos" para referirse a él. "Lo permitió", supongo.

 Hecho

• "que permitió a los atacantes comprometer la política del mismo origen": escrito así, no queda claro si es la "implementación de Chrome" o los "ataques uXSS" los que lo permiten.
• "ataques reportados en el medio", omitir "en"

 Hecho

• "por la implementación en Site Isolation": on -> of. Además, ¿por qué Site Isolation se escribe con mayúscula?

 Hecho

• "prevenir diversas variaciones" Sólo una de las palabras "v" es suficiente.

 Hecho

• "Firefox anunció" -> "El equipo de desarrollo de Firefox"

 Hecho

• "Reiteras algunos de los defectos". Repites los éxitos. Abordas o corriges los defectos.

 Hecho

• "el hecho de que páginas web similares todavía eran vulnerables a ataques uXSS". ¿Similar a qué?
• "Similar a Chrome, el proyecto..." evitar la repetición de la palabra "similar"

 Hecho

• "Históricamente, el aislamiento de sitios solo se ha implementado en navegadores de investigación". Sea más específico acerca de lo que significa "históricamente". ¿Antes de un año en particular? ¿Antes de algún lanzamiento de navegador específico?

 Hecho

• "Esto se debió a que se consideró el enfoque" -> "Se consideró el enfoque..."

 Hecho

• "Intensidad de uso de recursos y memoria debido al aumento de la cantidad de espacio de memoria ocupado por los procesos". Esta oración se perdió en alguna parte. La memoria es un tipo de recurso, por lo que "recursos y memoria" es redundante. Y "intensidad de uso de memoria" es redundante con "aumento de la cantidad de espacio de memoria ocupado".

 Hecho

• "Esto también se reflejó en implementaciones del mundo real", no está claro a qué se refiere "Esto".

Aclarado

• "tomó uno o dos núcleos más" vincula "núcleo" a la unidad central de procesamiento (o algún otro objetivo si hay uno que sea más apropiado).

 Hecho

• "No se considera una bala de plata", eso es jerga. ¿Quizás "no se considera una panacea"? Además, ¿quién está considerando esto?

Eso habría sido Microsoft Research, pero tienes razón, esa línea no es la mejor, he intentado reformular esa parte.

Bueno, eso es todo por una primera lectura. En general, se ve bastante bien. Todavía tengo que volver a leerlo después de que hayas abordado los problemas que mencioné anteriormente, además de las comprobaciones de derechos de autor y de referencias puntuales. Es posible que no vuelva a hacerlo durante unos días. RoySmith (discusión) 18:02 4 mar 2024 (UTC) [ responder ]

Ah, otra cosa; aunque no es estrictamente necesario, sería útil si esto pudiera ilustrarse con algunos diagramas de bloques de cómo interactúan entre sí los distintos componentes del navegador y cómo se distribuyen entre los procesos en las distintas arquitecturas. Además, los distintos sistemas operativos tienen conceptos algo diferentes de lo que es un proceso. Si pudieras encontrar algo que hable sobre cómo esas diferencias afectan las implementaciones del aislamiento de sitios en diferentes plataformas, sería útil. RoySmith (discusión) 18:09, 4 de marzo de 2024 (UTC) [ responder ]

Agregué un diagrama. No pude encontrar mucha discusión sobre la comparación entre diferentes implementaciones de procesos :( Sohom ( discusión ) 03:29, 8 de marzo de 2024 (UTC) [ responder ]

Verificación puntual de la fuente: 2, 5, 6, 12, 17 vs Especial: enlace permanente/1211912654

• Todo el último párrafo de Antecedentes se cita en las referencias 5 y 6. La referencia 5 es un artículo de 16 páginas. El párrafo habla tanto de Spectre como de Meltdown. La referencia 5 no menciona ninguna de ellas. La referencia 6 solo menciona a Spectre. Esto realmente necesita ser citado con una resolución más fina, citando números de página específicos en la referencia 5 y desglosando qué afirmaciones están respaldadas por cuál de las dos referencias.

He agregado algunas fuentes nuevas que mencionan tanto a Spectre como a Meltdown y especifiqué qué páginas estoy citando.

• Ref 6 es un blog autoeditado, pero estoy dispuesto a aceptarlo como un WP:RS considerando que los autores son expertos en la materia.
• "Casi al mismo tiempo, también se estaba trabajando en el OP (que luego se convertiría en el navegador OP2), IBOS, Tahoma y los navegadores SubOS, todos los cuales propusieron diferentes paradigmas para resolver el problema de la separación de procesos entre sitios.[8][2]" Hasta donde puedo decir, todo en esta oración está respaldado por la referencia 8 (sección "7 Trabajo relacionado"), por lo que no estoy seguro de qué valor tiene citarlo también en la referencia 2.

La referencia 2 ofrece un desglose de cada una de las metodologías del navegador de investigación. Si bien no es estrictamente obligatorio, sería útil para un lector más técnico que desee profundizar más.

• La referencia 2 tiene 20 páginas; proporcione citas más detalladas, incluidos los números de página.

 Hecho

• "El equipo de Chrome descubrió que los 94 ataques uXSS..." esta oración se cita en las referencias 11 y 12, ninguna de las cuales menciona 94 ataques uxss.

Fijado

• La referencia 17 tiene 20 páginas. Indique citas más específicas de los números de página.

 Hecho

En cuanto a los problemas de derechos de autor, un escaneo con Earwig no reveló nada preocupante. RoySmith (discusión) 20:00 5 mar 2024 (UTC) [ responder ]

RoySmith (discusión) 19:58 5 mar 2024 (UTC) [ responder ]

@ Sohom Datta He puesto esto en espera. Por favor, solucionen los problemas anteriores en los próximos 7 días, gracias. RoySmith (discusión) 18:37 7 mar 2024 (UTC) [ responder ]

@ RoySmith Ya he abordado tus puntos anteriores. Avísame si hay más inquietudes o problemas :) Sohom ( discusión ) 15:31, 8 de marzo de 2024 (UTC) [ responder ]

Se ve bien, gracias. Buen artículo. Es sorprendente lo sofisticados que son algunos de estos ataques. RoySmith (discusión) 15:47 8 mar 2024 (UTC) [ responder ]