মাইক্রোসফট এজ দুর্বলতা রিসার্চ টিম কিছুদিন আগে ঘোষণা করেছিল একটি নতুন ফাংশন নিয়ে পরীক্ষা করা ব্রাউজারে। পরীক্ষাটি ইচ্ছাকৃতভাবে জেআইটি কম্পাইলার নিষ্ক্রিয় করা জড়িত জাভাস্ক্রিপ্ট এবং ওয়েব সমাবেশ, এর মাধ্যমে আপনি একটি প্রধান অপ্টিমাইজেশান এবং কর্মক্ষমতা উন্নতি পেতে এজ সুপার ডুপার সিকিউর মোড যা কোম্পানি কল করে তাতে আরও উন্নত নিরাপত্তা আপডেট সক্ষম করতে।
কোম্পানি তা ব্যাখ্যা করেছে ধারণাটি হ'ল শোষণের আক্রমণ পৃষ্ঠকে হ্রাস করা আধুনিক সিস্টেম যা জাভাস্ক্রিপ্টের ত্রুটির উপর ভিত্তি করে এবং নাটকীয়ভাবে আক্রমণকারীদের অপারেশন খরচ বৃদ্ধি করে।
মাইক্রোসফট উল্লেখ করেছে যে ক্রোমিয়াম, যা ঘুরেফিরে জাভাস্ক্রিপ্ট V8 ইঞ্জিন, একটি ওপেন সোর্স ইঞ্জিন এর উপর ভিত্তি করে, একটি JIT কম্পাইলারের সাথে আসে যা সমস্ত বর্তমান ওয়েব ব্রাউজারে গুরুত্বপূর্ণ ভূমিকা পালন করে এবং জাভাস্ক্রিপ্ট নিয়ে এবং মেশিন কোডে অগ্রিম কম্পাইল করে কাজ করে। যার সাহায্যে যদি ব্রাউজারের এই কোডের প্রয়োজন হয়, তা ত্বরান্বিত হবে, যদি এটির প্রয়োজন না হয়, কোডটি মুছে ফেলা হয়।
এটি বলেছিল, ব্রাউজার বিক্রেতারা সম্মত হন যে ভি 8 -তে জেআইটি কম্পাইলার সমর্থন জটিল কারণ খুব কম লোকই এটি বোঝে এবং এর ত্রুটির জন্য কম মার্জিন রয়েছে।
২০১ since সাল থেকে সংগৃহীত CVE ডেটার উপর ভিত্তি করে, জাভাস্ক্রিপ্ট ইঞ্জিন এবং WebAssembly V2019- এর প্রায় %৫% দুর্বলতা জেআইটি কম্পাইলারের সাথে সম্পর্কিত, অথবা ক্রোমের সমস্ত দুর্বলতার অর্ধেকেরও বেশি।
“ওয়েবসাইটগুলির জাভাস্ক্রিপ্টের প্রয়োজন হয় না, যা সত্যিই প্রয়োজন তা হল অনন্ত স্ক্রোলিংয়ের মতো অ্যান্টি-টেমপ্লেট সহ একক পৃষ্ঠা ওয়েব অ্যাপ্লিকেশন। বিনিময়ে আপনি দুটি জিনিস পাবেন, একটি সুপার ডুপার ফাস্ট ওয়েব এবং আরও নিরাপদ ওয়েব ব্রাউজার। উদাহরণস্বরূপ, অ্যামাজন খুব ভালভাবে জাভাস্ক্রিপ্ট ছাড়া ব্যবহার সমর্থন করে। আরেকটি পরীক্ষা হল স্ট্যাকওভারফ্লো, প্রিভিউ এবং হাইলাইট করার মতো জিনিস কাজ করে না। সার্ভার-সাইড কোড দিয়ে হাইলাইট করা যেতে পারে, কিন্তু এটি CPU সময় খরচ করবে, এবং এটি আপনার CPU সময় নয়। এটা কি আপনার CPU সময়? »আমরা মন্তব্যগুলিতে পড়ি।
এই কারণেই এই ফলাফলগুলি দ্বারা উত্সাহিত, এজ টিম বর্তমানে কাজ করছে ভার্চুয়াল রিয়েলিটি টিম যা ডাকে "সুপার ডুপার সিকিউর মোড", একটি এজ কনফিগারেশন যেখানে আপনি জেআইটি কম্পাইলারকে অক্ষম করেন এবং ইন্টেলের সিইটি (কন্ট্রোলফ্লো -এনফোর্সমেন্ট টেকনোলজি) প্রযুক্তি এবং উইন্ডোজ এসিজি (স্বেচ্ছাচারী কোড গার্ড) সিস্টেম সহ তিনটি অন্যান্য নিরাপত্তা বৈশিষ্ট্য সক্ষম করেন - দুটি বৈশিষ্ট্য যা সাধারণত জেআইটি ভি 8 এর বাস্তবায়নের সাথে দ্বন্দ্ব সৃষ্টি করে। ।
তিনি লিখেছেন, "জেআইটি কম্পাইলার নিষ্ক্রিয় করে, আমরা প্রশমনকে সক্ষম করতে পারি এবং রেন্ডারিং প্রক্রিয়ার যেকোনো অংশে নিরাপত্তা বাগকে কাজে লাগানো আরও কঠিন করে তুলতে পারি।" আক্রমণের পৃষ্ঠে এই হ্রাস আমরা শোষণের মধ্যে অর্ধেক বাগকে হত্যা করে, প্রতিটি বাকী বাগ শোষণ করা কঠিন হয়ে পড়ে। অন্যভাবে বলতে গেলে, আমরা ব্যবহারকারীদের খরচ কমিয়ে দিচ্ছি, কিন্তু আক্রমণকারীদের খরচ বাড়িয়ে দিচ্ছি। "
যাইহোক, মাইক্রোসফট টেস্টিং পাওয়া গেছে যে এজ সংস্করণ JIT কম্পাইলার ছাড়া তাদের লোডের সময় 16,9% হ্রাস পেয়েছিল পৃষ্ঠার এবং মেমরির ব্যবহারে 2,3% হ্রাস। কিন্তু এই পরীক্ষাটি ছিল শুধুমাত্র অস্থায়ী এবং সুপার ডুপার সিকিউর মোড (এসডিএসএম) শীঘ্রই মাইক্রোসফট এজ এর অফিসিয়াল সংস্করণের অংশ হবে না।
যাইহোক, মাইক্রোসফট এজ (বিটা, ডেভ এবং ক্যানারি সহ) -এর প্রি-রিলিজ ব্যবহারকারীরা প্রান্তে এসডিএসএম সক্ষম করতে পারে: // পতাকা / # এজ-এনাবল-সুপার-ডুপার-সিকিউর-মোড এবং নতুন বৈশিষ্ট্যটি সক্ষম করে।
মাইক্রোসফ্ট এজ নতুন বিকল্পের একটি হোস্ট প্রকাশ করার কিছুক্ষণ পরেই খবরটি আসে। ব্রাউজারে মিডিয়া অটোপ্লে করার অনুমতি সংক্রান্ত ডিফল্ট এন্ট্রি পরিবর্তন করার ক্ষমতা, সেইসাথে একটি নির্দিষ্ট ওয়েবসাইটের পাসওয়ার্ড স্ট্যাটাস সতর্কতা "বন্ধ" করার ক্ষমতা সহ ব্যবহারকারীদের জন্য ব্যক্তিগতকরণ বিকল্প। অবশ্যই, সম্প্রদায়ের মধ্যে, আমরা শেষ ব্যবহারকারীদের জন্য আক্রমণের পৃষ্ঠ কমাতে মাইক্রোসফ্টের প্রচেষ্টার প্রশংসা করি যারা একটি অগ্রাধিকার সমস্ত জাভাস্ক্রিপ্টের অনুরোধ করেনি যা আজ ওয়েব পেজে পাঠানো হয়।
পরিশেষে আপনি যদি আরও জানতে আগ্রহী হন সম্পর্কিত, আপনি নীচের লিঙ্কে বিশদ পরীক্ষা করতে পারেন।