Das Microsoft Edge Vulnerability Research Team gab vor einigen Tagen bekannt, dass Experimentieren mit einer neuen Funktion im Browser. Das Experiment beinhaltet das absichtliche Deaktivieren des JIT-Compilers JavaScript und WebAssembly, dabei Sie erhalten eine wesentliche Optimierung und Leistungssteigerung um erweiterte Sicherheitsupdates im Edge Super Duper Secure Mode zu ermöglichen.
Das hat das Unternehmen erklärt die Idee ist, die Angriffsfläche der Exploits zu reduzieren moderne Systeme, die auf JavaScript-Fehlern basieren und die Betriebskosten für Angreifer drastisch erhöhen.
Microsoft erwähnt, dass Chromium, das wiederum auf der JavaScript-V8-Engine, einer Open-Source-Engine, basiert, einen JIT-Compiler mitbringt, der in allen aktuellen Webbrowsern eine entscheidende Rolle spielt und JavaScript aufnimmt und vorab in Maschinencode übersetzt. Wenn der Browser diesen Code benötigt, wird er schneller, wenn er ihn nicht benötigt, wird der Code gelöscht.
Davon abgesehen sind sich die Browserhersteller einig, dass die JIT-Compiler-Unterstützung in V8 komplex ist, da nur sehr wenige Leute sie verstehen und eine geringe Fehlerquote aufweist.
Basierend auf CVE-Daten, die seit 2019 gesammelt wurden, bezogen sich etwa 45 % der in der JavaScript-Engine und in WebAssembly V8 gefundenen Schwachstellen auf den JIT-Compiler oder mehr als die Hälfte aller Schwachstellen in Chrome.
„Websites benötigen kein JavaScript, was es wirklich braucht, sind Single-Page-Webanwendungen mit Anti-Templates wie unendlichem Scrollen. Im Gegenzug erhalten Sie zwei Dinge, ein superschnelles Web und einen sichereren Webbrowser. Amazon unterstützt beispielsweise sehr gut die Verwendung ohne JavaScript. Ein weiteres Experiment ist Stackoverflow, Dinge wie Vorschau und Hervorhebung funktionieren nicht. Die Hervorhebung kann mit serverseitigem Code hinzugefügt werden, kostet jedoch CPU-Zeit und ist nicht Ihre CPU-Zeit. Ist es Ihre CPU-Zeit? »Wir haben in den Kommentaren gelesen.
Deshalb ermutigt durch diese Ergebnisse, das Edge-Team arbeitet gerade in dem, was das Virtual-Reality-Team nennt "Super Duper Secure Mode", eine Edge-Konfiguration, in der Sie den JIT-Compiler deaktivieren und drei weitere Sicherheitsfunktionen aktivieren, darunter Intels CET (ControlFlow-Enforcement Technology)-Technologie und das Windows ACG (Arbitrary Code Guard)-System – zwei Funktionen, die normalerweise mit der Implementierung von JIT V8 kollidieren würden .
„Indem wir den JIT-Compiler deaktivieren, können wir Abschwächungen aktivieren und die Ausnutzung von Sicherheitsfehlern in jeder Komponente des Rendering-Prozesses erschweren“, schrieb er. Diese Verringerung der Angriffsfläche tötet die Hälfte der Fehler, die wir bei Exploits sehen, wobei jeder verbleibende Fehler schwerer auszunutzen ist. Anders ausgedrückt: Wir senken die Kosten für die Nutzer, erhöhen aber die Kosten für die Angreifer.“
Jedoch Microsoft-Tests festgestellt, dass Edge-Versionen ohne den JIT-Compiler hatten sie eine 16,9%ige Reduzierung der Ladezeit der Seite und eine Reduzierung der Speichernutzung um 2,3 %. Aber dieses Experiment war nur vorläufig und Super Duper Secure Mode (SDSM) wird in absehbarer Zeit nicht Teil der offiziellen Version von Microsoft Edge sein.
Benutzer von Vorabversionen von Microsoft Edge (einschließlich Beta, Dev und Canary) können SDSM jedoch am Edge aktivieren: // Flags / # edge-enable-super-duper-secure-mode und durch Aktivieren der neuen Funktion.
Die Nachricht kommt kurz nachdem Microsoft Edge eine Vielzahl neuer Optionen enthüllt hat. Personalisierungsoptionen für Benutzer, einschließlich der Möglichkeit, den Standardeintrag in Bezug auf die Berechtigung zum automatischen Abspielen von Medien im Browser zu ändern, sowie die Möglichkeit, Kennwortstatuswarnungen für eine bestimmte Website "auszuschalten". Natürlich schätzen wir in der Community die Bemühungen von Microsoft, die Angriffsfläche für Endbenutzer zu reduzieren, die a priori nicht das gesamte JavaScript angefordert haben, das heute auf Webseiten ausgeliefert wird.
Schließlich wenn du mehr wissen möchtest Über, Sie können die Details unter folgendem Link überprüfen.