Tecnología

Cómo proteger tu navegador Chrome contra Meltdown y Spectre

Compartir

Continúa el carrusel de vulnerabilidades 2018,  ya son dos, y con bastantes malas pulgas. Ahora incluso tienen nombre por lo que han pasado a ser más conocidos como las vulnerabilidades Meltdown y Spectre.

Hace 3 días hablamos de Meltdown que afectaba a procesadores Intel, pero ayer ha saltado a la palestra la vulnerabilidad Spectre. Este nuevo caso afecta ya a máquinas con procesadores Intel ó AMD así como smartphones basados en arquitectura ARM. Es decir, casi todos.

Aunque los parches de Meltdown están en proceso o incluso algunos ya desplegados, lo de Spectre parece que va a ser complicado. No obstante hay algunas estrategias que se pueden tomar para proteger nuestros datos.

Protección esencial: la memoria usada por nuestro navegador

Quizás uno de los puntos más sensibles sea el navegador, y en Google son conscientes de esto. Para ello el próximo día 23 de enero publicarán Google Chrome en su versión 64, en la cual se activarán por defecto ciertas estrategias para proteger la memoria usada por el navegador.

No obstante hasta ese día, si que podemos protegernos en cierto modo activando una funcionalidad que ya está disponible en la versión actual.

Proteger Chrome, paso a paso

Se trata de la opción “Strict site isolation” (en el enlace puedes ver la información oficial), un modo de seguridad altamente experimental que asegura que cada proceso de ejecución contiene únicamente páginas de como mucho un sitio.

En este modo, se emplearán iframes fuera del proceso del sitio web, en cualquier lugar en el cual un iframe se produzca entre dos o más sitios.

Para activar esta opción bastará con pegar esta URL en la caja de direcciones del navegador:

chrome://flags/#enable-site-per-process

Además tenemos un mini vídeo donde mostramos el proceso:

Como puedes ver es bastante sencillo, aunque el rendimiento del navegador está por ver todavía, en nuestras pruebas iniciales no hemos detectado una ralentización sensible.

¿Qué plataformas soporta esta opción de seguridad?

A día de hoy la situación es la siguiente:

  • Versiones Chrome de escritorio (Mac, Linux, Windows): Soportado
  • Versiones Chrome de Android: Disponible en “chrome://flags” aunque con conflictos de rendimiento según Google.
  • Versiones de Chrome de iOS: Chrome usa el motor de JavaScript de Apple con lo que depende en último lugar de la propia Apple.

¿Cómo de fiar son estos ajustes?

Por ahora, todo el sector habla de “mitigar” el problema, ya sea Apple, Microsoft, Intel… hay mucha mucha cautela, nadie afirma que su parche o ajuste elimina la amenaza. Por tanto, debemos ser muy cautos fundamentalmente con cualquier cosa que instalemos.

Compartir