Super Duper Secure Mode, la funció de seguretat de la que presumeix Microsoft Edge

Microsoft edge logo

L'equip d'investigació de vulnerabilitats de Microsoft Edge va anunciar fa pocs dies que experimentant amb una nova funció al navegador. l'experiment implica desactivar intencionalment el compilador JIT de JavaScript i WebAssembly, amb la qual cosa s'obté una important millora d'optimització i rendiment per permetre actualitzacions de seguretat més avançades en el que la companyia diu Edge Super Duper Secure Mode.

La companyia va explicar que la idea és reduir la superfície d'atac dels gestes moderns que es basen en falles de JavaScript i augmentar dràsticament el cost d'operació per als atacants.

Microsoft esmenta que Chromium que al seu torn es basa en el motor JavaScript V8 un motor de codi obert, ve amb un compilador JIT el qual juga un paper crucial en tots els navegadors web actuals i funciona prenent JavaScript i compilant en codi de màquina amb anticipació amb la qual cosa si el navegador necessita aquest codi, s'accelerarà, si no ho necessita, s'esborra el codi.

Dit això, els proveïdors de navegadors estan d'acord en que el suport de l'compilador JIT en V8 és complex, ja que molt poques persones entenen i té un baix marge d'error.

Segons les dades de CVE recopilades des 2019, aproximadament el 45% de les vulnerabilitats trobades en el motor JavaScript i WebAssembly V8 estaven relacionades amb el compilador JIT, o més de la meitat de totes les vulnerabilitats de Chrome.

"Els llocs web no requereixen JavaScript, el que realment ho necessita són aplicacions web d'una sola pàgina amb anti-plantilles com el desplaçament infinit. Obtens dues coses a canvi, un web ràpida «super Duper» i un navegador web més segur. Per exemple, Amazon admet molt bé l'ús sense JavaScript. Un altre experiment és Stackoverflow, coses com la vista prèvia i el ressaltat no funcionen. El ressaltat es pot afegir amb codi de el costat de servidor, però costarà temps de CPU, i no és el seu temps de CPU. És el seu temps de CPU? », Llegim en els comentaris.

És per això que animats per aquests resultats, l'equip d'Edge està treballant actualment en el que l'equip de realitat virtual diu «Super Duper Secure Mode», una configuració d'Edge en què desactiva el compilador JIT i habilita altres tres funcions de seguretat, inclosa la tecnologia CET (ControlFlow-Enforcement tecnologia) d'Intel i el sistema ACG (Arbitrary Code Guard) Windows: dues funcions que normalment entrarien en conflicte amb la implementació de JIT V8.

«A l'desactivar el compilador JIT, podem habilitar mitigacions i fer que sigui més difícil explotar errors de seguretat en qualsevol component de l'procés de renderitzat», va escriure. Aquesta reducció en la superfície d'atac mata la meitat dels errors que veiem en els gestes, i cada error restant es torna més difícil d'explotar. Per dir-ho d'una altra manera, estem reduint els costos per als usuaris, però augmentant els costos per als atacants "

No obstant això, les proves de Microsoft van trobar que les versions de Edge sense el compilador JIT tenien una reducció de l'16,9% en el temps de càrrega de la pàgina i una reducció de l'2,3% en l'ús de memòria. Però aquest experiment va ser només temptatiu i Super Duper Secure Mode (SDSM) no serà part de la versió oficial de Microsoft Edge en el curt termini.

No obstant això, els usuaris de versions preliminars de Microsoft Edge (incloses Beta, Dev i Canary) poden habilitar SDSM a edge: // flags / # edge-enable-super-Duper-secure-mode i habilitant la nova característica.

La notícia arriba poc després que Microsoft Edge revelés una gran quantitat de noves opcions de personalització per als usuaris, incloent-hi la capacitat de canviar l'entrada per defecte pel que fa a l'permís per reproduir automàticament els mitjans al navegador, així com la capacitat de «desactivar» les alertes d'estat de la contrasenya per a un determinat lloc web. Per descomptat, en la comunitat, apreciem l'esforç de Microsoft per reduir la superfície d'atac per als usuaris finals que a priori no han sol·licitat tot el Javascript que s'embarca en les pàgines web avui.

Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.