Microsoft Edge भेद्यता अनुसंधान दल ने कुछ दिन पहले घोषणा की थी कि एक नए फ़ंक्शन के साथ प्रयोग करना ब्राउज़र में। प्रयोग जेआईटी कंपाइलर को जानबूझकर अक्षम करना शामिल है JavaScript और WebAssembly, जिससे आपको एक बड़ा अनुकूलन और प्रदर्शन सुधार मिलता है कंपनी जिसे एज सुपर डुपर सिक्योर मोड कहती है, उसमें अधिक उन्नत सुरक्षा अपडेट सक्षम करने के लिए।
कंपनी ने समझाया कि विचार कारनामों की हमले की सतह को कम करना है आधुनिक प्रणालियाँ जो जावास्क्रिप्ट दोषों पर आधारित हैं और हमलावरों के लिए ऑपरेशन की लागत में नाटकीय रूप से वृद्धि करती हैं।
माइक्रोसॉफ्ट का उल्लेख है कि क्रोमियम, जो बदले में जावास्क्रिप्ट वी 8 इंजन पर आधारित है, एक ओपन सोर्स इंजन, एक जेआईटी कंपाइलर के साथ आता है जो सभी मौजूदा वेब ब्राउज़रों में एक महत्वपूर्ण भूमिका निभाता है और जावास्क्रिप्ट को लेकर काम करता है और इसे पहले से मशीन कोड में संकलित करता है। जिसके साथ अगर ब्राउजर को इस कोड की जरूरत है तो इसे तेज किया जाएगा, अगर इसकी जरूरत नहीं है तो कोड डिलीट कर दिया जाता है।
कहा जा रहा है, ब्राउज़र विक्रेता सहमत हैं कि V8 में JIT कंपाइलर समर्थन जटिल है क्योंकि बहुत कम लोग इसे समझते हैं और इसमें त्रुटि के लिए कम मार्जिन है।
2019 से एकत्र किए गए CVE डेटा के आधार पर, JavaScript इंजन और WebAssembly V45 में पाई गई लगभग 8% कमजोरियां JIT कंपाइलर से संबंधित थीं, या क्रोम में सभी कमजोरियों के आधे से अधिक।
“वेबसाइटों को जावास्क्रिप्ट की आवश्यकता नहीं होती है, वास्तव में इसकी आवश्यकता क्या है, अनंत स्क्रॉलिंग जैसे एंटी-टेम्पलेट्स वाले सिंगल पेज वेब एप्लिकेशन हैं। आपको बदले में दो चीजें मिलती हैं, एक सुपर डुपर फास्ट वेब और एक अधिक सुरक्षित वेब ब्राउज़र। उदाहरण के लिए, अमेज़ॅन जावास्क्रिप्ट के बिना उपयोग का बहुत अच्छा समर्थन करता है। एक अन्य प्रयोग स्टैक ओवरफ्लो है, पूर्वावलोकन और हाइलाइटिंग जैसी चीजें काम नहीं करती हैं। हाइलाइटिंग को सर्वर-साइड कोड के साथ जोड़ा जा सकता है, लेकिन इसमें CPU समय खर्च होगा, और यह आपका CPU समय नहीं है। क्या यह आपका सीपीयू समय है? »हम टिप्पणियों में पढ़ते हैं।
इसलिए इन परिणामों से उत्साहित होकर, एज टीम वर्तमान में काम कर रही है आभासी वास्तविकता टीम क्या कहती है "सुपर डुपर सिक्योर मोड", एक एज कॉन्फ़िगरेशन जिसमें आप जेआईटी कंपाइलर को अक्षम करते हैं और इंटेल की सीईटी (कंट्रोलफ्लो-एनफोर्समेंट टेक्नोलॉजी) तकनीक और विंडोज एसीजी (आर्बिट्रेरी कोड गार्ड) सिस्टम सहित तीन अन्य सुरक्षा सुविधाओं को सक्षम करते हैं - दो विशेषताएं जो सामान्य रूप से जेआईटी वी 8 के कार्यान्वयन के साथ संघर्ष करती हैं .
"जेआईटी कंपाइलर को अक्षम करके, हम शमन को सक्षम कर सकते हैं और प्रतिपादन प्रक्रिया के किसी भी घटक में सुरक्षा बग का फायदा उठाने के लिए इसे और अधिक कठिन बना सकते हैं," उन्होंने लिखा। हमले की सतह में यह कमी हम कारनामों में देखे जाने वाले आधे बग को मार देती है, साथ ही प्रत्येक शेष बग का शोषण करना कठिन हो जाता है। दूसरे शब्दों में कहें तो हम यूजर्स के लिए लागत कम कर रहे हैं, लेकिन हमलावरों के लिए लागत बढ़ा रहे हैं।"
हालांकि, माइक्रोसॉफ्ट परीक्षण पाया कि एज संस्करण जेआईटी कंपाइलर के बिना उनके लोड समय में 16,9% की कमी थी पृष्ठ का और स्मृति उपयोग में 2,3% की कमी. लेकिन यह प्रयोग केवल अस्थायी था और सुपर डुपर सिक्योर मोड (एसडीएसएम) जल्द ही माइक्रोसॉफ्ट एज के आधिकारिक संस्करण का हिस्सा नहीं होगा।
हालाँकि, Microsoft Edge (बीटा, देव और कैनरी सहित) के पूर्व-रिलीज़ उपयोगकर्ता SDSM को किनारे पर सक्षम कर सकते हैं: // फ़्लैग्स / # edge-enable-super-duper-secure-mode और नई सुविधा को सक्षम करना।
Microsoft Edge द्वारा नए विकल्पों की मेजबानी करने के कुछ ही समय बाद यह खबर आई। उपयोगकर्ताओं के लिए वैयक्तिकरण विकल्प, जिसमें ब्राउज़र में मीडिया को ऑटोप्ले करने की अनुमति के संबंध में डिफ़ॉल्ट प्रविष्टि को बदलने की क्षमता, साथ ही किसी विशेष वेबसाइट के लिए पासवर्ड स्थिति अलर्ट को "बंद" करने की क्षमता शामिल है। बेशक, समुदाय में, हम उन अंतिम उपयोगकर्ताओं के लिए हमले की सतह को कम करने के Microsoft के प्रयास की सराहना करते हैं, जिन्होंने आज वेब पेजों पर आने वाले सभी जावास्क्रिप्ट का अनुरोध नहीं किया है।
अंत में यदि आप अधिक जानने में रुचि रखते हैं के बारे में, आप नीचे दिए गए लिंक में विवरण देख सकते हैं।