Microsoft Edge Vulnerability Research Team annoncerede for et par dage siden, at eksperimentere med en ny funktion i browseren. Eksperimentet involverer forsætlig deaktivering af JIT -kompilatoren JavaScript og WebAssemble, derved du får en større optimering og præstationsforbedring at aktivere mere avancerede sikkerhedsopdateringer i det, virksomheden kalder Edge Super Duper Secure Mode.
Det forklarede virksomheden tanken er at reducere angrebsoverfladen på bedrifterne moderne systemer, der er baseret på JavaScript -fejl og dramatisk øger driftsomkostningerne for angribere.
Microsoft nævner, at Chromium, der igen er baseret på JavaScript V8 -motoren, en open source -motor, leveres med en JIT -compiler, der spiller en afgørende rolle i alle nuværende webbrowsere og fungerer ved at tage JavaScript og kompilere det i maskinkode på forhånd. hvormed browseren har brug for denne kode, vil den blive accelereret, hvis den ikke har brug for det, slettes koden.
Når det er sagt, er browserudbydere enige om, at JIT -kompilersupport i V8 er kompleks, da meget få mennesker forstår det, og det har en lav fejlmargin.
Baseret på CVE -data indsamlet siden 2019 var cirka 45% af sårbarhederne fundet i JavaScript -motoren og WebAssemble V8 relateret til JIT -kompilatoren, eller mere end halvdelen af alle sårbarheder i Chrome.
“Websites kræver ikke JavaScript, hvad der virkelig har brug for det er enkeltsidede webapplikationer med anti-skabeloner som uendelig rulning. Du får to ting til gengæld, et super duper hurtigt web og en mere sikker webbrowser. For eksempel understøtter Amazon meget vel brug uden JavaScript. Et andet eksperiment er Stackoverflow, ting som eksempelvisning og fremhævelse virker ikke. Fremhævningen kan tilføjes med server-side kode, men det vil koste CPU-tid, og det er ikke din CPU-tid. Er det din CPU -tid? »Vi læste i kommentarerne.
Det er derfor opmuntret af disse resultater, Edge -teamet arbejder i øjeblikket i hvad virtual reality -teamet kalder "Super Duper Secure Mode", en Edge -konfiguration, hvor du deaktiverer JIT -kompilatoren og aktiverer tre andre sikkerhedsfunktioner, herunder Intels CET (ControlFlow -Enforcement Technology) teknologi og Windows ACG (Arbitrary Code Guard) -systemet - to funktioner, der normalt ville være i konflikt med implementeringen af JIT V8 .
"Ved at deaktivere JIT -kompilatoren kan vi aktivere afbødninger og gøre det vanskeligere at udnytte sikkerhedsfejl i enhver komponent i gengivelsesprocessen," skrev han. Denne reduktion i angrebsoverfladen dræber halvdelen af de fejl, vi ser i bedrifter, hvor hver resterende fejl bliver sværere at udnytte. For at sige det på en anden måde reducerer vi omkostningerne for brugerne, men øger omkostningerne for angribere. "
Imidlertid Microsoft test fandt ud af, at Edge -versioner uden JIT -kompilatoren havde de en reduktion i belastningstiden på 16,9% af siden og en reduktion på 2,3% i hukommelsesforbruget. Men dette eksperiment var kun foreløbigt, og Super Duper Secure Mode (SDSM) vil ikke snart være en del af den officielle version af Microsoft Edge.
Imidlertid kan førudgivelsesbrugere af Microsoft Edge (herunder Beta, Dev og Canary) aktivere SDSM på edge: // flags / # edge-enable-super-duper-secure-mode og aktivere den nye funktion.
Nyheden kommer kort efter, at Microsoft Edge afslørede et væld af nye muligheder. Tilpasningsmuligheder for brugere, herunder muligheden for at ændre standardindgangen vedrørende tilladelse til automatisk afspilning af medier i browseren, samt muligheden for at "deaktivere" advarsler om adgangskode for et bestemt websted. I samfundet værdsætter vi naturligvis Microsofts indsats for at reducere angrebsoverfladen for slutbrugere, der på forhånd ikke har anmodet om alt det JavaScript, der sendes på websider i dag.
Endelig hvis du er interesseret i at vide mere om, Du kan kontrollere detaljerne i følgende link.