Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Site Isolationの話

Avatar for Jun Kokatsu Jun Kokatsu
May 16, 2019
Research
5
2k

Site Isolationの話

Shibuya.XSS techtalk #11で話したスライド
Site Isolation、Cross-Origin Read Blocking、Spectreなどなど

Avatar for Jun Kokatsu

Jun Kokatsu

May 16, 2019
Tweet

More Decks by Jun Kokatsu

See All by Jun Kokatsu
Operating Operator
Avatar for Jun Kokatsu shhnjk
1
990
Piloting Edge Copilot
Avatar for Jun Kokatsu shhnjk
1
1.3k
Same-Origin Cross-Context Scripting
Avatar for Jun Kokatsu shhnjk
0
1k
The world of Site Isolation and compromised renderer
Avatar for Jun Kokatsu shhnjk
1
2.8k
ブラウザセキュリティ機能は バイパスされる為にある
Avatar for Jun Kokatsu shhnjk
8
4k
Logically Bypassing Browser Security Boundaries
Avatar for Jun Kokatsu shhnjk
5
3.3k

Other Decks in Research

See All in Research
音声感情認識技術の進展と展望
Avatar for Ryotaro Nagase nagase
0
290
Towards a More Efficient Reasoning LLM: AIMO2 Solution Summary and Introduction to Fast-Math Models
Avatar for Hiroshi Y (RabotniKuma) analokmaus
2
930
J-RAGBench: 日本語RAGにおける Generator評価ベンチマークの構築
Avatar for Koki Itai koki_itai
0
800
[輪講] SigLIP 2: Multilingual Vision-Language Encoders with Improved Semantic Understanding, Localization, and Dense Features
Avatar for Naoki Kato nk35jk
3
1.2k
snlp2025_prevent_llm_spikes
Avatar for Sho Takase takase
0
380
Mechanistic Interpretability:解釈可能性研究の新たな潮流
Avatar for Koshiro Aoki koshiro_aoki
1
470
Language Models Are Implicitly Continuous
Avatar for Sho Yokoi eumesy
PRO
0
300
地域丸ごとデイサービス「Go トレ」の紹介
Avatar for SMARTふくしラボ smartfukushilab1
0
190
なめらかなシステムと運用維持の終わらぬ未来 / dicomo2025_coherently_fittable_system
Avatar for monochromegane monochromegane
0
3.9k
引力・斥力を制御可能なランダム部分集合の確率分布
Avatar for Takahiro Kawashima wasyro
0
260
説明可能な機械学習と数理最適化
Avatar for kelicht kelicht
0
210
2025/7/5 応用音響研究会招待講演@北海道大学
Avatar for Takuma OKAMOTO takuma_okamoto
1
220

Featured

See All Featured
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
209
24k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
630
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.7k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
33k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
190
55k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k

Transcript

  1. Site Isolationの話

  2. 職務質問 Q: お名前は? A: 小勝純です Q: SNS教えなさい A: @shhnjkです Q:

    お仕事は? A: マイクロソフトでBrowser Vulnerability Researchチームに所属してます Q: ビザ見せなさい A: 日本人です

  3. Agenda 1. Site Isolationについて 2. Cross-Origin Read Blockingについて 3. Spectreについて

    4. 見つけたバグの話 5. まとめ

  4. Chromeのプロセスモデル ブラウザプロセス: Chromeのプロセスの中で一番権限が高いプロセス。サンドボックス外の プロセスで、各レンダラプロセスの管理やリソースの供給、権限の授与を担当

  5. Chromeのプロセスモデル ブラウザプロセス: Chromeのプロセスの中で一番権限が高いプロセス。サンドボックス外の プロセスで、各レンダラプロセスの管理やリソースの供給、権限の授与を担当 レンダラプロセス: Chromeのプロセスの中で一番権限が低い、サンドボックスされたプロセス。ウェブ ページをレンダリングしたり、JSを実行したりする

  6. Site Isolationの背景 • オンライン上のデータの重要度が日に日に増している

  7. Site Isolationの背景 • オンライン上のデータの重要度が日に日に増している • ブラウザのサンドボックスをエスケープしなくてもレンダラプロセスを掌握出来 ればUXSSなどが可能だった

  8. Site Isolationの背景 • オンライン上のデータの重要度が日に日に増している • ブラウザのサンドボックスをエスケープしなくてもレンダラプロセスを掌握出来 ればUXSSなどが可能だった • 今後の攻撃がサンドボックスをエスケープするものから他サイトへのアクセス を悪用するものに推移するのではないか

  9. Site Isolationとは サイトごとにレンダラプロセスを隔離する Chromeのセキュリティ機能 Siteとは: Scheme と eTLD+1 https://www.example.com:443 https://www.chromium.org/developers/design-documents/site-isolation

  10. Cross-Origin Read Blockingの背景 クロスサイトなタブやフレームはSite Isolationでプロセスが隔離されるが、他のリ ソースはプロセスの隔離がされない 例: <img src=”https://www.google.com”>

  11. Cross-Origin Read Blockingの背景 クロスサイトなタブやフレームはSite Isolationでプロセスが隔離されるが、他のリ ソースはプロセスの隔離がされない 例: <img src=”https://www.google.com”> imgタグで指定されたリソースをパースする為に、そのリソースをレンダラプロセス

    内のメモリにロードする必要がある =レンダラプロセスを掌握されると任意のサイトのレスポンスが読める

  12. Cross-Origin Read Blockingとは HTMLかXMLかJSONのContent-Typeを持つリソースがクロスオリジンな プロセスにロードされないようにするセキュリティ機能 X-Content-Type-Options: nosniffが指定されていない場合はコンテンツを スニフする Renderer: https://evil.tld

    <img src=”//victim.tld”> Browser process victim.tld Content-Type: text/html X-Content-Type-Options: nosniff

  13. Spectre • サイドチャネル攻撃を使うことで別プロセスのデータを読み取れる CPUの脆弱性

  14. Spectre • サイドチャネル攻撃を使うことで別プロセスのデータを読み取れる CPUの脆弱性 • OSレベルのパッチにより、今まで通り OSプロセスの隔離は保証されるが、同 一プロセス内に機密データと信頼出来ないコードが共存する場合は未だにサ イドチャネル攻撃が可能

  15. Spectre • サイドチャネル攻撃を使うことで別プロセスのデータを読み取れる CPUの脆弱性 • OSレベルのパッチにより、今まで通り OSプロセスの隔離は保証されるが、同 一プロセス内に機密データと信頼出来ないコードが共存する場合は未だにサ イドチャネル攻撃が可能 •

    脆弱性無しでもJavascriptを使うと同一プロセス内の全てのデータを 読めてしまう

  16. ChromeによるSpectreの緩和策 performance.now()の精度削減、SharedArrayBufferの無効化、投機的実行時の メモリマスクなど >これらは総合的で効率的な緩和策ではない 詳細:https://v8.dev/blog/spectre

  17. ChromeによるSpectreの緩和策 performance.now()の精度削減、SharedArrayBufferの無効化、投機的実行時の メモリマスクなど >これらは総合的で効率的な緩和策ではない 詳細:https://v8.dev/blog/spectre OSレベルでの隔離が保証されるSite Isolationが一番効果的なSpectre対策

  18. Spectre対策としてのSite Isolation 当時完成していなかったSite Isolationを効果的なSpectre対策とする為に、新たな 脅威モデルによるSite IsolationがChrome 67から有効にされた 1. クロスサイトなタブやフレームには別プロセスを振り分ける 2.

    CORBを有効にする

  19. Spectre対策としてのSite Isolation 当時完成していなかったSite Isolationを効果的なSpectre対策とする為に、新たな 脅威モデルによるSite IsolationがChrome 67から有効にされた 1. クロスサイトなタブやフレームには別プロセスを振り分ける 2.

    CORBを有効にする しかし、レンダラプロセス内のデータが改ざんされてブラウザプロセスを騙す様な当 初のSite Isolationが想定していた脅威モデルには対応せず

  20. Spectre対策としてのSite Isolation 当時完成していなかったSite Isolationを効果的なSpectre対策とする為に、新たな 脅威モデルによるSite IsolationがChrome 67から有効にされた 1. クロスサイトなタブやフレームには別プロセスを振り分ける 2.

    CORBを有効にする しかし、レンダラプロセス内のデータが改ざんされてブラウザプロセスを騙す様な当 初のSite Isolationが想定していた脅威モデルには対応せず レンダラプロセス内のデータを改ざんせずに上記2つのどちらかをバイパス出来れ ば報奨金が貰える!

  21. クロスサイトを突き詰める URLのHostがドメイン名ではない場合、SchemeとHostが完全一致した場合のみ 同一サイトと判断される 例:http://204.79.197.200/

  22. クロスサイトを突き詰める URLのHostがドメイン名ではない場合、SchemeとHostが完全一致した場合のみ 同一サイトと判断される 例:http://204.79.197.200/ Blob URLやFileSystem URLなどオリジンがURL内にあるものは、そのオリジンを 元に同一サイトかを比較する 例:blob:https://www.bing.com/ed14d1bc-2fdc-4408-82ed-37c06ba1eab5

  23. クロスサイトを突き詰める URLのHostがドメイン名ではない場合、SchemeとHostが完全一致した場合のみ 同一サイトと判断される 例:http://204.79.197.200/ Blob URLやFileSystem URLなどオリジンがURL内にあるものは、そのオリジンを 元に同一サイトかを比較する 例:blob:https://www.bing.com/ed14d1bc-2fdc-4408-82ed-37c06ba1eab5 一つ目のバグが分かりましたか?

  24. Blob URLのオリジン CSP/iframeサンドボックスもしくはData URLから作られたBlob URLは以下の様に なる blob:null/06a61233-03ba-4ebe-a0ad-5b5c71e56bd0 SchemeとHostが完全に一致しているので常に同一サイトとみなされる

  25. Blob URLのオリジン CSP/iframeサンドボックスもしくはData URLから作られたBlob URLは以下の様に なる blob:null/06a61233-03ba-4ebe-a0ad-5b5c71e56bd0 SchemeとHostが完全に一致しているので常に同一サイトとみなされる 結果、クロスサイトなはずの2つの Blob

    URLが同一プロセス内にレンダリングされ てしまう CVE-2018-16074: $3000

  26. Data URLの扱い Data URLがiframe内で表示された場合、ナビゲーションを開始したサイトと Data URLは同一サイトとみなされる https://example.tld <iframe src=”data:,test”> 同一サイト

    https://example.tld https://evil.tld <script> location.href=”data:,test”; </script> クロスサイト

  27. ブラウザ復元時の挙動 https://victim.tld https://evil.tld <script> location.href=”data:,test”; </script> https://evil.tldからData URLがロードされた後 にブラウザプロセスをクラッシュする 例:https://crbug.com/935050

    <iframe src=”data:application/signed-exchange,”>

  28. ブラウザ復元時の挙動 https://victim.tld https://evil.tld <script> location.href=”data:,test”; </script> https://evil.tldからData URLがロードされた後 にブラウザプロセスをクラッシュする 例:https://crbug.com/935050

    <iframe src=”data:application/signed-exchange,”>

  29. ブラウザ復元時の挙動 https://victim.tld https://evil.tld <script> location.href=”data:,test”; </script> https://evil.tldからData URLがロードされた後 にブラウザプロセスをクラッシュする 例:https://crbug.com/935050

    <iframe src=”data:application/signed-exchange,”> https://victim.tld data:,test ローカルキャッシュから復元される際にクロスサイトな Data URLが同一サイトとみなされてしまう CVE-2018-16073: $3000

  30. 修正後 ブラウザまたはタブ復元後のData URLはどのサイトに属しているかがわからない 為、復元後はフラグメントを抜いた Data URL自体をサイトとして扱う様になった

  31. 修正後 ブラウザまたはタブ復元後のData URLはどのサイトに属しているかがわからない 為、復元後はフラグメントを抜いた Data URL自体をサイトとして扱う様になった しかしChromeにはData URLのフラグメント以降もData URLのボディとして扱う挙 動があった

    data:text/html,<b>body</b>#<s>this is body too</s>

  32. ブラウザ復元時の挙動を使ったバグ2 https://evil.tld data:text/html, <body bgcolor="#"><script> alert(1); </script></body> https://victim.tld data:text/html, <body

    bgcolor="#E6E6FA"> secret </body>

  33. ブラウザ復元時の挙動を使ったバグ2 https://evil.tld data:text/html, <body bgcolor="#"><script> alert(1); </script></body> https://victim.tld data:text/html, <body

    bgcolor="#E6E6FA"> secret </body> クラッシュ

  34. ブラウザ復元時の挙動を使ったバグ2 https://evil.tld data:text/html, <body bgcolor="#"><script> alert(1); </script></body> https://victim.tld data:text/html, <body

    bgcolor="#E6E6FA"> secret </body> https://evil.tld data:text/html, <body bgcolor="#"><script> alert(1); </script></body> https://victim.tld data:text/html, <body bgcolor="#E6E6FA"> secret </body> クラッシュ 同一サイト $500 https://www.chromestatus.com/feature/5656 049583390720

  35. CORBをバイパスしてみる Application CacheはクロスオリジンのリソースをCORS無しで明示的にキャッシュ することが出来る CACHE MANIFEST CACHE: https://www.google.com

  36. CORBをバイパスしてみる Application CacheはクロスオリジンのリソースをCORS無しで明示的にキャッシュ することが出来る CACHE MANIFEST CACHE: https://www.google.com ブラウザがこのキャッシュを行う際 CORBのチェックを怠っていた為、

    明示的にキャッシュしたリソースを使うことによって CORBがバイパス 出来た Chrome Securityチームが先に見つけていたので重複

  37. レンダラプロセスを信頼しないSite Isolationへ 当初の目標であったレンダラプロセスを一切信頼しない脅威モデルの確立に向け て着々と実装が行われている • Out-of-Renderer CORS • 各IPCの再チェック •

    現状の実装で実際のサイトが守れるかの確認 などなど

  38. レンダラプロセスを信頼しないSite Isolationへ 当初の目標であったレンダラプロセスを一切信頼しない脅威モデルの確立に向け て着々と実装が行われている • Out-of-Renderer CORS • 各IPCの再チェック •

    現状の実装で実際のサイトが守れるかの確認 などなど こちらも実際に見つかったバグを紹介します ※まだ実装が完璧ではない為、セキュリティのバグではなくセキュリティ機能の向上 として 扱われる場合があります

  39. Blob URLを使ったUXSS キヌガワさんが見つけたバグ! Blob URLを作る際、レンダラプロセス内のオリジンを偽 装することでブラウザプロセスを騙して別オリジンの Blob URLを作ることが出来る Blob URLのコンテンツも自由に指定出来るので

    UXSS となる CVE-2018-18345: $8000 Browser Process Renderer Process https://evil.tld I need a Blob URL for Google.com! Sure!

  40. ナビゲーションコミット時のオリジン偽装 Chromeにはナビゲーションが開始された後にレスポンスをロードする為のレンダ ラプロセスからナビゲーションをコミットするという概念がある Life of a Navigation:https://youtu.be/mX7jQsGCF6E Navigate to https://evil.tld

    Commit navigation with https://victim.tld

  41. UXSSに昇格 別オリジンにコミット出来ることは Chromeチームが知っていたので重複 レンダラプロセス自体は攻撃者のサイト用のままのなので UXSSが出来ない

  42. UXSSに昇格 別オリジンにコミット出来ることは Chromeチームが知っていたので重複 レンダラプロセス自体は攻撃者のサイト用のままのなので UXSSが出来ない レンダラプロセスがアクセス出来るオリジンを確認されてしまう APIには オリジンの偽装がバレるが、そうでない APIは上手く騙せていた Service

    Workerを使うサイトに対してはCache APIを使ってUXSSが出来た https://crbug.com/915396

  43. postMessageのオリジン偽装 レンダラプロセス内のオリジンを偽装した後に postMessageすると メッセージを受け取った側に偽装されたオリジンが送られてしまう https://evil.tld https://victim.tld frames[0].postMessage(“hello”,”*”); alert(event.origin)// https://victim.tld $3000

    https://crbug.com/915398

  44. 気をつけて欲しいこと 開発者へ • 信頼出来ないData URLをiframeで表示することはXSSではないが危険

  45. 気をつけて欲しいこと 開発者へ • 信頼出来ないData URLをiframeで表示することはXSSではないが危険 • HTML、XML、JSON以外の機密ファイルでクロスサイトに読み込まれる必要 がないものにはCORPヘッダーを設定しよう!

  46. 気をつけて欲しいこと 開発者へ • 信頼出来ないData URLをiframeで表示することはXSSではないが危険 • HTML、XML、JSON以外の機密ファイルでクロスサイトに読み込まれる必要 がないものにはCORPヘッダーを設定しよう! • https://www.chromium.org/Home/chromium-security/corb-for-developers

  47. 気をつけて欲しいこと 開発者へ • 信頼出来ないData URLをiframeで表示することはXSSではないが危険 • HTML、XML、JSON以外の機密ファイルでクロスサイトに読み込まれる必要 がないものにはCORPヘッダーを設定しよう! • https://www.chromium.org/Home/chromium-security/corb-for-developers

    ユーザへ • 信頼出来ないローカルファイルは開かないようにしよう! (現状全てのFile URLは同一サイト)

  48. Site Isolationで変わってきたこと • レンダラプロセスを掌握してもUXSSをする為には更にバグが必要になった

  49. Site Isolationで変わってきたこと • レンダラプロセスを掌握してもUXSSをする為には更にバグが必要になった • ブラウザプロセスのアタックサーフェイスが増加した

  50. Site Isolationで変わってきたこと • レンダラプロセスを掌握してもUXSSをする為には更にバグが必要になった • ブラウザプロセスのアタックサーフェイスが増加した • ブラウザのバグがサイトの設定で防げるようになってきた

  51. Site Isolationで変わってきたこと • レンダラプロセスを掌握してもUXSSをする為には更にバグが必要になった • ブラウザプロセスのアタックサーフェイスが増加した • ブラウザのバグがサイトの設定で防げるようになってきた • SOPバイパスがSite

    Isolation関連で守られていない所に集中し始めた

  52. Site Isolationで変わってきたこと • レンダラプロセスを掌握してもUXSSをする為には更にバグが必要になった • ブラウザプロセスのアタックサーフェイスが増加した • ブラウザのバグがサイトの設定で防げるようになってきた • SOPバイパスがSite

    Isolation関連で守られていない所に集中し始めた • Siteという概念がより強くなり始めた

  53. Site Isolationをテストしたい方へ Spoof.js https://github.com/shhnjk/spoof.js Chromeのレンダラプロセス内のオリジンと URLを偽装してくれる WinDbgの拡張スクリプト オリジンとURLを偽装した後に任意のAPIを呼ぶことでそのAPIが偽装したオリジン やURLに騙されないか試せる

  54. Questions? Acknowledgement: Thanks Chrome Site Isolation team! (nasko, lukasza, creis,

    and others)