Tim za istraživanje ranjivosti Microsoft Edge objavio je prije nekoliko dana da eksperimentiranje s novom funkcijom u pregledniku. Eksperiment, pokus uključuje namjerno onemogućavanje JIT prevoditelja JavaScript i WebAssembly, dakle dobivate veliku optimizaciju i poboljšanje performansi kako bi se omogućila naprednija sigurnosna ažuriranja u onome što tvrtka naziva Edge Super Duper Secure Mode.
Tvrtka je to objasnila ideja je smanjiti površinu napada eksploatacije moderni sustavi koji se temelje na nedostacima JavaScripta i dramatično povećavaju troškove rada napadača.
Microsoft spominje da Chromium, koji se pak temelji na motoru JavaScript V8, motoru otvorenog koda, dolazi s JIT kompajlerom koji igra ključnu ulogu u svim trenutnim web preglednicima i radi tako što unaprijed uzima JavaScript i kompilira ga u strojni kod. pa ako pregledniku treba ovaj kôd, ubrzat će se, ako mu ne treba, kôd se briše.
Uprkos tome, dobavljači preglednika slažu se da je podrška za kompajlere JIT -a u V8 složena jer je vrlo malo ljudi razumije i ima nisku marginu grešaka.
Na temelju CVE podataka prikupljenih od 2019., približno 45% ranjivosti pronađenih u JavaScript stroju i WebAssembly V8 odnosilo se na JIT prevoditelj, ili više od polovice svih ranjivosti u Chromeu.
“Web stranice ne zahtijevaju JavaScript, ono što im zaista treba su web stranice s jednom stranicom s anti-predlošcima poput beskonačnog pomicanja. Zauzvrat dobivate dvije stvari, super duper brz web i sigurniji web preglednik. Na primjer, Amazon vrlo dobro podržava upotrebu bez JavaScripta. Drugi eksperiment je Stackoverflow, stvari poput pregleda i isticanja ne rade. Isticanje se može dodati kodom na strani poslužitelja, ali to će koštati CPU-ovo vrijeme, a ne vaše CPU-ovo vrijeme. Je li vam vrijeme za CPU? »Čitamo u komentarima.
Zato ohrabreni ovim rezultatima, Edge tim trenutno radi u onome što tim za virtualnu stvarnost naziva "Super Duper siguran način", Edge konfiguracija u kojoj onemogućujete JIT kompajler i omogućujete tri druge sigurnosne značajke, uključujući Intelovu CET (ControlFlow -Enforcement Technology) tehnologiju i Windows ACG (Arbitrary Code Guard) sustav - dvije značajke koje bi inače bile u sukobu s implementacijom JIT V8 .
"Onemogućavanjem JIT prevoditelja možemo omogućiti ublažavanje i otežati iskorištavanje sigurnosnih grešaka u bilo kojoj komponenti procesa generiranja", napisao je. Ovo smanjenje površine napada ubija polovicu grešaka koje vidimo u eksploatacijama, a svaki preostali bug postaje sve teže iskoristiti. Drugim riječima, smanjujemo troškove za korisnike, ali povećavamo troškove napadačima. "
Međutim, Microsoft testiranje otkrili da Edge verzije bez JIT kompajlera imali su smanjenje vremena učitavanja za 16,9% stranice i smanjenje upotrebe memorije za 2,3%. No, ovaj je eksperiment bio tek privremeni i Super Duper Secure Mode (SDSM) neće uskoro biti dio službene verzije Microsoft Edgea.
Međutim, korisnici Microsoft Edgea prije izdanja (uključujući Beta, Dev i Canary) mogu omogućiti SDSM na edge: // flags / # edge-enable-super-duper-secure-mode i omogućiti novu značajku.
Vijest dolazi ubrzo nakon što je Microsoft Edge otkrio mnoštvo novih opcija. Opcije prilagodbe za korisnike, uključujući mogućnost promjene zadanog unosa u vezi s dopuštenjem za automatsku reprodukciju medija u pregledniku, kao i mogućnost "isključivanja" upozorenja o statusu zaporke za određenu web stranicu. Naravno, u zajednici cijenimo Microsoftov trud da smanji površinu napada za krajnje korisnike koji apriori nisu zatražili sav JavaScript koji se danas nalazi na web stranicama.
Konačno ako vas zanima više oko, Pojedinosti možete provjeriti na sljedećem linku.