Microsoft Edgen haavoittuvuustutkimusryhmä ilmoitti muutama päivä sitten, että kokeilemalla uutta toimintoa selaimessa. Koe sisältää JIT -kääntäjän tahallisen poistamisen käytöstä JavaScript ja WebAss Assembly saat suuren optimoinnin ja suorituskyvyn parannuksen ottaa käyttöön kehittyneempiä tietoturvapäivityksiä yrityksessä, jota Edge Super Duper Secure Mode kutsuu.
Yhtiö selitti asian ajatuksena on vähentää hyökkäysten hyökkäyspintaa nykyaikaiset järjestelmät, jotka perustuvat JavaScript -virheisiin ja lisäävät hyökkääjien käyttökustannuksia dramaattisesti.
Microsoft mainitsee, että Chromium, joka puolestaan perustuu JavaScript V8 -moottoriin, avoimen lähdekoodin moottoriin, sisältää JIT -kääntäjän, jolla on ratkaiseva rooli kaikissa nykyisissä selaimissa ja joka toimii ottamalla JavaScript ja kääntämällä se konekoodiksi etukäteen. joten jos selain tarvitsee tätä koodia, se nopeutuu, jos se ei tarvitse sitä, koodi poistetaan.
Selaimen toimittajat ovat kuitenkin yhtä mieltä siitä, että JIT -kääntäjän tuki V8: ssa on monimutkainen, koska hyvin harvat ymmärtävät sen ja sillä on alhainen virhemarginaali.
Vuodesta 2019 lähtien kerättyjen CVE -tietojen perusteella noin 45% JavaScript -moottorin ja WebAss Assembly V8: n haavoittuvuuksista liittyi JIT -kääntäjään tai yli puolet kaikista Chromen haavoittuvuuksista.
"Verkkosivustot eivät vaadi JavaScriptiä, mutta sitä todella tarvitaan yksisivuisilla verkkosovelluksilla, joissa on anti-malleja, kuten ääretön vieritys. Saat kaksi asiaa vastineeksi, erittäin supernopean verkon ja turvallisemman verkkoselaimen. Esimerkiksi Amazon tukee hyvin käyttöä ilman JavaScriptiä. Toinen kokeilu on Stackoverflow, esim. Esikatselu ja korostus eivät toimi. Korostus voidaan lisätä palvelinpuolen koodilla, mutta se maksaa suorittimen aikaa, eikä se ole suorittimen aika. Onko CPU -aikasi? »Luemme kommenteista.
Siksi nämä tulokset kannustavat Edge -tiimi työskentelee parhaillaan mitä virtuaalitodellisuustiimi kutsuu "Super Duper Secure Mode", Edge -kokoonpano, jossa poistat JIT -kääntäjän käytöstä ja otat käyttöön kolme muuta suojausominaisuutta, mukaan lukien Intelin CET (ControlFlow -Enforcement Technology) -tekniikka ja Windows ACG (Arbitrary Code Guard) -järjestelmä - kaksi ominaisuutta, jotka normaalisti olisivat ristiriidassa JIT V8: n käyttöönoton kanssa .
"Kun poistat JIT -kääntäjän käytöstä, voimme ottaa käyttöön lieventämisen ja vaikeuttaa tietoturvavirheiden hyödyntämistä missä tahansa renderointiprosessin osassa", hän kirjoitti. Tämä hyökkäyspinnan väheneminen tappaa puolet hyökkäyksissä havaituista vikoista, ja jokaisen jäljellä olevan virheen hyödyntäminen on vaikeampaa. Toisin sanoen alennamme käyttäjien kustannuksia, mutta lisäämme hyökkääjien kustannuksia. "
Kuitenkin, Microsoftin testaus havaitsi, että Edge -versiot ilman JIT -kääntäjää niiden latausaika lyheni 16,9% sivun ja 2,3% pienempi muistin käyttö. Tämä kokeilu oli kuitenkin vain alustava, eikä Super Duper Secure Mode (SDSM) ole osa Microsoft Edgen virallista versiota.
Microsoft Edgen julkaisua edeltävät käyttäjät (mukaan lukien Beta, Dev ja Canary) voivat kuitenkin ottaa SDSM: n käyttöön reunassa: // flags / # edge-enable-super-duper-secure-mode ja ottaa käyttöön uuden ominaisuuden.
Uutinen tulee pian sen jälkeen, kun Microsoft Edge paljasti joukon uusia vaihtoehtoja. Mukautusvaihtoehdot käyttäjille, mukaan lukien mahdollisuus muuttaa oletusmerkintää, joka koskee median automaattista toistoa selaimessa, sekä mahdollisuus "poistaa käytöstä" tietyn verkkosivuston salasanahälytykset. Tietenkin arvostamme yhteisössä Microsoftin pyrkimyksiä vähentää hyökkäyspintaa loppukäyttäjille, jotka eivät ole etukäteen pyytäneet kaikkia JavaScriptiä, joka toimitetaan verkkosivuille tänään.
Vihdoin jos olet kiinnostunut tietämään enemmän noin, Voit tarkistaa yksityiskohdat seuraavasta linkistä.