WhatsApp将与Facebook分享其数据

Data URL

虽然加载在顶部frame上的Data URL始终与它自己的进程保持隔离，但加载在iframe内的Data URL将从导航发起方那里继承Site(尽管源仍然是opaque origin)。年龄较大的读者可能会记得类似的概念，iFrame中的Data URL使用的是继承自Firefox的源。

正如您在上面的图像中所看到的，即使两个示例都导致Microsoft.com嵌入数据URL iframe，但是跨站点的情况仍然是保持进程隔离的，因为导航发起方是evil.example。
 

早在2018年，Chrome就默认启用了站点隔离功能，以缓解UXSS和Spectre等漏洞带来的影响。当时，我积极参加了Chrome漏洞奖励计划，并在站点隔离机制中发现了10多个漏洞，从而获得了3.2万美元的奖励。

在本系列文章中，我们不仅会为读者解释站点隔离和相关安全功能的运行机制，同时，还会介绍在该安全机制发现的安全漏洞，当然，目前这些漏洞已经得到了修复。

挖洞方法

当我在Chrome中挖掘安全漏洞的时候，通常会从手动测试开始下手，而不是先进行代码审查，因为Chrome团队更擅长代码审查。所以我认为，但凡从他们的代码审查中漏网逻辑漏洞，通常都很难通过代码审计找到。因此，当我开始研究站点隔离时，我遵循了相同的方法。

什么是站点隔离?

站点隔离是一种安全功能，它将每个站点的网页隔离到单独的进程中。通过站点隔离机制，站点的隔离与操作系统级别的进程隔离保持一致，而不是通过同源策略等在进程内实现逻辑隔离。
 

Bitglass

加利福尼亚坎贝尔

安全包：Bitglass Next-Gen CASB

潜在买家价值定位：Bitglass原生运行于云端，但也可部署为Docker容器用作本地主机。这家供应商推出的零日方法侧重与企业合规和治理需求紧密集成的信任评分、信任级别和静态数据加密，已跻身CASB领域领导者行列。

关键价值/差异化价值：

• 该平台延伸至移动安全和影子IT控制，依托透明嵌入用户浏览器的无代理“AJAX虚拟机(VM)”抽象层，支持包括非托管设备在内的特定场景实时数据保护。
• Bitglass CASB主打自动化学习模式、数字水印和强数据防泄露。
• 至于劣势，Gartner指出，此解决方案无法修改SaaS应用原生安全控制，分配和消费Azure信息保护(AIP)模板的能力也有限。综合考虑，Gartner将Bitglass列入其2018魔力象限评级的领导者象限。用户认为该解决方案很直观，功能也很强大。

目标用户：中端企业到大型企业

如何使用：订阅云服务和容器选项

Netskope

加利福利亚圣克拉拉

安全包：Netskope Security Cloud

潜在买家价值定位：在主流软件和网络公司纷纷兼并CASB解决方案供应商的时代，Netskope依然是一家独立公司。该公司自2013年末开始发售产品，重点放在应用发现和SaaS安全态势评估上。

关键价值/差异化价值：

• 该公司的优势在于强力分析工具，包括行为分析和健壮的警报系统。这些工具连同其他一些东西帮助Netskope发现API、移动设备和影子IT中的漏洞。
• Gartner在其2018魔力象限中将Netskope列入领导者象限。
• 用户反馈称此解决方案提供全面的可见性、强大的DLP功能和有效的威胁情报馈送。

慎重考虑：代理配置困难和使用API修复的能力有限是该解决方案的不足之处。很多CASB供应商如今都引入API进行态势评估了。

目标用户：中小企业、中端企业、大型企业

如何使用：订阅云服务

Oracle

加利福尼亚红木海岸

安全包：Oracle CASB云服务

潜在买家价值定位：Oracle已超越了通用型CASB方法。其解决方案源自Palerra，采用围绕云活动的日志方法，提供SaaS应用发现与深度可见性，能够识别通过Oracle、Salesforce及其他平台安装的风险应用，从而强化安全监测、威胁防护和事件响应。公司企业还可以许可内联DLP(实时检测)和API DLP(回溯扫描)。

（编辑：唐山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!