Halaman ini diterjemahkan oleh Cloud Translation API.

Meltdown/Spectre

Surma

Ringkasan

Pada 3 Januari, Project Zero mengungkap kerentanan di CPU modern yang dapat digunakan suatu proses untuk membaca (dalam kondisi terburuk) memori arbitrer — termasuk memori yang tidak termasuk dalam proses tersebut. Kerentanan ini dinamakan Spectre dan Meltdown. Apa yang dilakukan Chrome untuk membantu menjaga keamanan web, dan apa yang harus dilakukan developer web untuk situs mereka?

TL; DR (Ringkasan)

Sebagai pengguna yang menjelajahi web, Anda harus memastikan untuk selalu mengupdate sistem operasi dan browser. Selain itu, pengguna Chrome dapat mempertimbangkan untuk mengaktifkan Isolasi Situs.

Jika Anda adalah developer web, tim Chrome menyarankan:

Jika memungkinkan, cegah cookie memasuki memori proses perender dengan menggunakan atribut cookie SameSite dan HTTPOnly, serta dengan menghindari pembacaan dari document.cookie.
Pastikan jenis MIME Anda sudah benar dan tentukan header X-Content-Type-Options: nosniff untuk setiap URL dengan konten khusus pengguna atau sensitif, guna mendapatkan hasil maksimal dari Pemblokiran Baca Lintas Asal bagi pengguna yang mengaktifkan Isolasi Situs.
Aktifkan Isolasi Situs dan beri tahu tim Chrome jika hal ini menyebabkan masalah pada situs Anda.

Jika Anda bertanya-tanya mengapa langkah-langkah ini membantu, baca terus.

Risiko

Ada banyak penjelasan tentang kerentanan ini, jadi saya tidak akan menambahkan satu lagi. Jika Anda ingin mengetahui cara mengeksploitasi kerentanan ini, sebaiknya baca postingan blog yang dibuat oleh rekan-rekan saya dari tim Google Cloud.

Meltdown dan Spectre berpotensi mengizinkan proses membaca memori yang seharusnya tidak dapat dilakukan. Terkadang, beberapa dokumen dari situs yang berbeda pada akhirnya dapat berbagi proses di Chrome. Hal ini dapat terjadi jika salah satunya telah membuka yang lain menggunakan window.open, atau <a href="..." target="_blank">, atau iframe. Jika situs berisi data khusus pengguna, ada kemungkinan situs lain dapat menggunakan kerentanan baru ini untuk membaca data pengguna tersebut.

Mitigasi

Ada beberapa upaya yang dilakukan tim engineer Chrome dan V8 untuk memitigasi ancaman ini.

Isolasi Lokasi

Dampak keberhasilan eksploitasi Spectre dapat dikurangi secara signifikan dengan mencegah data sensitif membagikan proses dengan kode yang dikontrol penyerang. Tim Chrome sedang mengerjakan fitur untuk mencapai hal ini yang disebut “Isolasi Situs”:

Isolasi Situs belum diaktifkan secara default karena ada beberapa masalah umum dan tim Chrome menginginkan sebanyak mungkin pengujian lapangan. Jika Anda adalah developer web, sebaiknya aktifkan Isolasi Situs dan periksa apakah situs Anda tetap berfungsi. Jika Anda ingin mengaktifkannya sekarang, aktifkan chrome://flags#enable-site-per-process. Jika Anda menemukan situs yang tidak berfungsi, bantu kami dengan melaporkan bug dan menyebutkan bahwa Anda telah mengaktifkan Isolasi Situs.

Pemblokiran Dokumen Lintas Situs

Meskipun semua halaman lintas situs dimasukkan ke dalam proses terpisah, halaman masih dapat meminta beberapa subresource lintas situs, seperti gambar dan JavaScript, secara sah. Untuk membantu mencegah informasi sensitif membocorkan informasi ini, Isolasi Situs menyertakan fitur “pemblokiran dokumen lintas situs” yang membatasi respons jaringan yang dikirim ke proses perender.

Situs dapat meminta dua jenis data dari server: “dokumen” dan “resource”. Di sini, dokumen adalah file HTML, XML, JSON, dan teks. Situs dapat menerima dokumen dari domainnya sendiri atau dari domain lain dengan header CORS permisif. Resource mencakup hal-hal seperti gambar, JavaScript, CSS, dan font. Referensi dapat disertakan dari situs mana pun.

Kebijakan pemblokiran dokumen lintas situs mencegah suatu proses menerima “dokumen” dari origin lain jika:

Mereka memiliki HTML, XML, JSON, atau jenis MIME teks/biasa, dan
Eksperimen tersebut memiliki header respons HTTP X-Content-Type-Options: nosniff, atau analisis konten cepat (“sniffing”) mengonfirmasi bahwa jenisnya sudah benar
CORS tidak secara eksplisit mengizinkan akses ke dokumen

Dokumen yang diblokir oleh kebijakan ini akan ditampilkan ke proses sebagai kosong, meskipun permintaan masih terjadi di latar belakang.

Misalnya: Bayangkan penyerang membuat tag <img> yang menyertakan file JSON dengan data sensitif, seperti <img src="https://yourbank.com/balance.json">. Tanpa Isolasi Situs, konten file JSON akan sampai ke memori proses perender, yang pada saat itu perender melihat bahwa format gambar tersebut tidak valid dan tidak merender gambar. Namun, dengan Spectre, sekarang ada cara untuk membaca memori itu. Pemblokiran dokumen lintas situs akan mencegah konten file ini memasuki memori proses yang sedang dijalankan perender karena jenis MIME diblokir oleh pemblokiran dokumen lintas situs.

Menurut metrik pengguna, ada banyak file JavaScript dan CSS yang dikirimkan dengan jenis MIME text/html atau text/plain. Untuk menghindari pemblokiran resource yang tidak sengaja ditandai sebagai dokumen, Chrome mencoba mengendus respons untuk memastikan jenis MIME sudah benar. Deteksi ini tidak sempurna, jadi jika Anda yakin sudah menetapkan header Content-Type yang benar di situs, tim Chrome merekomendasikan untuk menambahkan header X-Content-Type-Options: nosniff ke semua respons.

Jika Anda ingin mencoba pemblokiran dokumen lintas situs, pilih ikut serta dalam Isolasi Situs seperti yang dijelaskan di atas.

`SameSite` cookie

Mari kembali ke contoh di atas: <img src="https://yourbank.com/balance.json">. Ini hanya berfungsi jika yourbank.com telah menyimpan cookie yang otomatis membuat pengguna login. Cookie biasanya dikirim untuk semua permintaan ke situs yang menetapkan cookie — meskipun permintaan tersebut dibuat oleh pihak ketiga menggunakan tag <img>. Cookie SameSite adalah atribut baru yang menentukan bahwa cookie hanya boleh dilampirkan ke permintaan yang berasal dari situs yang sama, oleh karena itu disebut. Sayangnya, pada saat penulisan ini, hanya Chrome dan Firefox 58+ yang mendukung atribut ini.

`HTTPOnly` dan `document.cookie`

Jika cookie situs Anda hanya digunakan sisi server, bukan oleh JavaScript klien, ada cara untuk menghentikan data cookie agar tidak memasuki proses perender. Anda dapat menetapkan atribut cookie HTTPOnly, yang secara eksplisit mencegah cookie diakses melalui skrip sisi klien di browser yang didukung, seperti Chrome. Jika menetapkan HTTPOnly tidak dapat dilakukan, Anda dapat membantu membatasi eksposur pemuatan data cookie ke proses yang dirender dengan tidak membaca document.cookie kecuali jika benar-benar diperlukan.

Buka Link Eksternal Menggunakan `rel="noopener"`

Saat Anda menautkan ke halaman lain menggunakan target="_blank", halaman yang terbuka memiliki akses ke objek window Anda, dapat mengarahkan halaman Anda ke URL yang berbeda, dan tanpa Isolasi Situs akan berada dalam proses yang sama seperti halaman Anda. Untuk melindungi halaman Anda dengan lebih baik, link ke halaman eksternal yang terbuka di jendela baru harus selalu menentukan rel="noopener".

Timer resolusi tinggi

Untuk mengeksploitasi Meltdown atau Spectre, penyerang perlu mengukur berapa lama waktu yang dibutuhkan untuk membaca nilai tertentu dari memori. Untuk itu, diperlukan timer yang andal dan akurat.

Satu API yang ditawarkan platform web adalah performance.now() yang akurat hingga 5 mikrodetik. Sebagai mitigasi, semua browser utama telah mengurangi resolusi performance.now() untuk mempersulit pemasangan serangan.

Cara lain untuk mendapatkan timer resolusi tinggi adalah dengan menggunakan SharedArrayBuffer. {i>Buffer<i} digunakan oleh pekerja khusus untuk menambahkan penghitung. Thread utama membaca penghitung ini dan menggunakannya sebagai timer. Untuk saat ini, browser telah memutuskan untuk menonaktifkan SharedArrayBuffer hingga mitigasi lain diterapkan.

V8

Untuk mengeksploitasi Spectre, diperlukan urutan petunjuk CPU yang dibuat khusus. Tim V8 telah menerapkan mitigasi untuk bukti konsep serangan yang diketahui, dan sedang menangani perubahan pada TurboFan, compiler pengoptimalan mereka, yang membuat kode yang dihasilkan aman bahkan saat serangan ini dipicu. Namun, perubahan pembuatan kode ini mungkin menyebabkan penalti performa.

Menjaga keamanan web

Ada banyak ketidakpastian seputar penemuan Spectre dan Meltdown serta implikasinya. Semoga artikel ini memberikan penerangan tentang apa yang dilakukan tim Chrome dan V8 untuk menjaga keamanan platform web, dan bagaimana developer web dapat membantu dengan menggunakan fitur keamanan yang ada. Jika ada pertanyaan, jangan ragu untuk menghubungi saya di Twitter.