Proteggere i dati tramite l'isolamento dei siti

Chrome 63 e versioni successive.

Si applica ai browser Chrome gestiti e ai dispositivi con Chrome OS.

In qualità di amministratore di Chrome, puoi proteggere gli utenti del browser Chrome che visitano siti non attendibili attivando l'isolamento dei siti. 

L'isolamento dei siti separa le pagine che provengono da siti web diversi. Quando l'isolamento dei siti è attivo, è più difficile che i siti dannosi riescano ad aggirare le misure di sicurezza messe in atto per impedire il furto di dati. Ulteriori informazioni sull'isolamento dei siti.

L'isolamento dei siti può essere attivato per tutti i siti visitati dagli utenti oppure soltanto per siti specifici.

Passaggio 1: esamina i criteri

Criterio Descrizione e impostazioni
SitePerProcess

Attivo: attiva l'isolamento dei siti per tutti i siti dell'intera organizzazione. Per l'esecuzione del rendering di tutti i siti visitati dagli utenti verrà utilizzato un processo dedicato, isolato da tutti gli altri.

Non attivo: il browser non utilizzerà alcun processo dedicato per il rendering dei siti.

Non impostato: gli utenti possono scegliere se attivare l'isolamento dei siti.

Nota: la configurazione dell'isolamento per tutti i siti web offre la massima sicurezza, ma allo stesso tempo provoca un incremento dell'utilizzo della memoria di circa il 10% sui computer dove è in uso il browser Chrome.

IsolateOrigins

Attivo: attiva l'isolamento dei siti soltanto per siti web specifici visitati dagli utenti. Per l'esecuzione del rendering dei siti specificati da te verrà utilizzato un processo dedicato. Puoi includere siti a cui gli utenti accedono, nonché altri siti che contengono dati sensibili, ad esempio i siti intranet o di produttività.

Non attivo: il browser non utilizzerà alcun processo dedicato per il rendering dei siti.

Non impostato: gli utenti possono scegliere se attivare l'isolamento dei siti.

Passaggio 2: crea un elenco di siti da isolare

Su Chrome 76 e versioni precedenti, puoi creare un elenco di tutte le origini da isolare specificando ogni origine per esteso, ad esempio:
https://a.example.com, https://b.example.com, https://c.example.com.

Su Chrome 77 e versioni successive, puoi anche specificare un intervallo di origini da isolare utilizzando un carattere jolly.

Ad esempio, se specifichi https://[*.]example.com, isoli https://a.example.com, https://b.example.com e https://c.example.com. Inoltre isoli qualsiasi origine corrispondente in https://[*.]example.com, come:

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

Puoi utilizzare la notazione con caratteri jolly per isolare un intero intervallo di origini in modo pratico. Ad esempio, specificando https://[*.]corp.solarmora.com ti assicuri che tutte le origini aziendali Solarmora siano isolate.

Passaggio 3: attiva l'isolamento dei siti

Fai clic qui sotto per visualizzare i passaggi, in base a come vuoi gestire questi criteri.

Console di amministrazione

Si applica quando gli utenti hanno eseguito l'accesso a un account Google gestito su qualsiasi browser Chrome o dispositivo con Chrome OS.

Questa procedura presuppone familiarità con la configurazione delle impostazioni di Chrome nella Console di amministrazione.

  1. Segui la procedura standard per configurare le Impostazioni utente di Chrome:
    1. Nella Console di amministrazione, vai a Dispositivi poi Gestione di Chrome poi Impostazioni utente e browser.
    2. Seleziona l'organizzazione che contiene gli utenti o i browser registrati per i quali vuoi consentire le app.

    Importante: assicurati che la gestione del browser Chrome sia attiva per l'organizzazione.

    Per informazioni dettagliate, vedi Impostare un criterio di Chrome per più app.

  2. Vai alla sezione Isolamento dei siti.
  3. Per attivare l'isolamento per tutti i siti web:
    1. Sotto Criteri relativi all'isolamento dei siti, seleziona Attiva l'isolamento per tutti i siti web (SitePerProcess).
    2. Inserisci origini aggiuntive separate da virgole che vuoi isolare dai rispettivi siti web. (facoltativo) Ad esempio, inserisci https://login.example.com per mantenerlo isolato da https://example.com.
  4. Per attivare l'isolamento per siti web specifici:
    1. Sotto Criteri relativi all'isolamento dei siti, seleziona Attiva l'isolamento per siti web specifici, definiti di seguito (IsolateOrigins).
    2. Inserisci un elenco di siti web e origini, separati da virgole, che vuoi isolare.
  5. Fai clic su Salva in fondo alla pagina.
Windows
Si applica agli utenti Windows che hanno eseguito l'accesso a un account gestito sul browser Chrome.

Mediante Criteri di gruppo

Nell'editor Criteri di gruppo, vai a Configurazione del computer o Configurazione utentepoi Criteri poi Modelli amministrativi poi Google poi Google Chrome per entrambi i criteri seguenti. 

Attivare l'isolamento per tutti i siti web

Se lasci questo criterio su Non configurata, il funzionamento sarà quello descritto sopra in corrispondenza di Non impostato.

  1. Individua e attiva Attiva isolamento sito per ogni sito.
    Suggerimento:se non vedi questo criterio, scarica il modello di criteri più recente.

  2. Per verificare l'isolamento di tutti i siti web a livello locale, utilizza il seguente flag della riga di comando: 
    - - site-per-process

  3. Esegui il deployment dell'aggiornamento per gli utenti.

Attivare l'isolamento per siti web specifici

     Se lasci questo criterio su Non configurata, il funzionamento sarà quello descritto sopra in corrispondenza di Non impostato.

  1. Individua e attiva Attiva isolamento sito per origini specificate.

    Suggerimento:se non vedi questo criterio, scarica il modello di criteri più recente.

  2. Inserisci gli URL dei siti da isolare in un elenco separato da virgole.
    Ad esempio: https://example.com/,https://altrosito.org/.

  3. Per verificare l'isolamento dei siti web specificati a livello locale, utilizza il flag della riga di comando: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Esegui il deployment dell'aggiornamento per gli utenti.
Mac
Si applica agli utenti AppleMac che hanno eseguito l'accesso a un account gestito sul browser Chrome.

Nel profilo di configurazione di Chrome, aggiungi o aggiorna le chiavi indicate di seguito, quindi esegui il deployment della modifica per gli utenti.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.sito1.com,https://www.sito2.net”</string>
</dict>

 

Linux
Si applica agli utenti Linux che hanno eseguito l'accesso a un account gestito sul browser Chrome.

Utilizzando il tuo editor di file JSON preferito:

  1. Vai alla cartella etc/opt/chrome/policies/managed.
  2. Crea o aggiorna un file JSON inserendo gli URL in base alle tue esigenze:
    • SitePerProcess: imposta il valore su true per attivare il criterio.
    • IsolateOrigins: aggiungi gli URL da isolare. 
  3. Per verificare l'isolamento dei siti web specificati a livello locale, utilizza il flag della riga di comando: 
    - - isolate-origins=https://example.com, https://subdomain.example.org
  4. Esegui il deployment dell'aggiornamento per gli utenti.

L'esempio seguente mostra come attivare il criterio SitePerProcess:

{
"SitePerProcess": "true"
}


L'esempio seguente mostra come isolare sito1.com e sito2.net:  
{
“IsolateOrigins”:”https://sito1.com/,https://sito2.net/”
}

Passaggio 4: esegui la verifica dell'isolamento dei siti

Per verificare se hai isolato i siti correttamente:

  1. Vai a un sito web con frame secondari collegati a siti diversi.  
    1. Vai a http://csreis.github.io/tests/cross-site-iframe.html.
    2. Fai clic sul pulsante Go cross-site (complex page) (Vai a Cross-Site (pagina complessa))
    3. La pagina principale sarà ora sul sito http://csreis.github.io, mentre il frame secondario sarà collegato al sito https://chromium.org.
  2. Apri il Task Manager di Chrome (Menu di Chrome poi Altri strumenti poi Task Manager).
  3. Verifica che la pagina principale e il frame secondario siano elencati in righe separate associate a diversi processi,  ad esempio:
    • Schede: creis.github.io/tests/cross-site-iframe.html - ID processo = 1234
    • Frame secondario: https://chromium.org - ID processo = 5678

Se vedi il processo del frame secondario nel Task Manager, significa che l'isolamento dei siti è attivato correttamente. Se intendi isolare siti web specifici, devi includere http://csreis.github.io o https://chromium.org nell'elenco delle origini.

Disattivare l'isolamento dei siti

Per disattivare l'isolamento dei siti, disattiva i criteri che hai configurato sopra.

Se disattivi i criteri di isolamento dei siti, per eseguire il rendering dei siti web Chrome utilizzerà il proprio modello di isolamento dei processi per sito. Siti diversi possono condividere processi e il rendering di frame secondari collegati a siti diversi potrebbe essere eseguito nello stesso processo della pagina principale. La disattivazione di uno dei criteri disattiverà anche le prove sul campo di entrambi i criteri.

Problemi noti

  • Possono verificarsi alcuni problemi minori legati all'aspetto o agli eventi di input delle pagine web quali, ad esempio, clic del mouse, tocchi o altri metodi di interazione con le pagine web.
  • Gli Strumenti per sviluppatori di Chrome (DevTools) potrebbero non supportare completamente gli iframe collegati a siti diversi nel pannello delle prestazioni o nell'emulazione dei dispositivi mobili.
È stato utile?
Come possiamo migliorare l'articolo?