Il team di Microsoft Edge Vulnerability Research ha annunciato alcuni giorni fa che sperimentando una nuova funzione nel browser. L'esperimento comporta la disabilitazione intenzionale del compilatore JIT JavaScript e WebAssembly, quindi ottieni un'importante ottimizzazione e miglioramento delle prestazioni per abilitare aggiornamenti di sicurezza più avanzati in quella che l'azienda chiama Edge Super Duper Secure Mode.
La società ha spiegato che l'idea è quella di ridurre la superficie di attacco degli exploit sistemi moderni che si basano su difetti JavaScript e aumentano notevolmente i costi operativi per gli aggressori.
Microsoft afferma che Chromium, che a sua volta è basato sul motore JavaScript V8, un motore open source, viene fornito con un compilatore JIT che svolge un ruolo cruciale in tutti i browser Web attuali e funziona prendendo JavaScript e compilandolo in anticipo nel codice macchina. quindi se il browser ha bisogno di questo codice, si velocizzerà, se non ne ha bisogno, il codice viene cancellato.
Detto questo, i fornitori di browser concordano sul fatto che il supporto del compilatore JIT in V8 è complesso poiché pochissime persone lo capiscono e ha un basso margine di errore.
Sulla base dei dati CVE raccolti dal 2019, circa il 45% delle vulnerabilità rilevate nel motore JavaScript e nel WebAssembly V8 era correlato al compilatore JIT, ovvero più della metà di tutte le vulnerabilità in Chrome.
“I siti web non richiedono JavaScript, ciò che realmente ne ha bisogno sono le applicazioni web a pagina singola con anti-template come lo scorrimento infinito. Ottieni due cose in cambio, un Web super veloce e un browser Web più sicuro. Ad esempio, Amazon supporta molto bene l'uso senza JavaScript. Un altro esperimento è Stackoverflow, cose come l'anteprima e l'evidenziazione non funzionano. L'evidenziazione può essere aggiunta con il codice lato server, ma costerà tempo di CPU e non è il tuo tempo di CPU. È il tuo tempo di CPU? »L'abbiamo letto nei commenti.
Ecco perché incoraggiato da questi risultati, il team Edge sta attualmente lavorando in quello che chiama il team di realtà virtuale "Modalità Super Duper Secure", una configurazione Edge in cui si disabilita il compilatore JIT e si abilitano altre tre funzionalità di sicurezza, tra cui la tecnologia Intel CET (ControlFlow-Enforcement Technology) e il sistema Windows ACG (Arbitrary Code Guard) - due funzionalità che normalmente sarebbero in conflitto con l'implementazione di JIT V8 .
"Disabilitando il compilatore JIT, possiamo abilitare le mitigazioni e rendere più difficile sfruttare i bug di sicurezza in qualsiasi componente del processo di rendering", ha scritto. Questa riduzione della superficie di attacco elimina la metà dei bug che vediamo negli exploit, con ogni bug rimanente che diventa più difficile da sfruttare. Per dirla in altro modo, stiamo riducendo i costi per gli utenti, ma aumentando i costi per gli aggressori".
Tuttavia, Test Microsoft scoperto che le versioni Edge senza il compilatore JIT hanno avuto una riduzione del 16,9% del tempo di caricamento della pagina e una riduzione del 2,3% nell'utilizzo della memoria. Ma questo esperimento era solo provvisorio e la modalità Super Duper Secure Mode (SDSM) non farà parte della versione ufficiale di Microsoft Edge in qualunque momento presto.
Tuttavia, gli utenti pre-release di Microsoft Edge (inclusi Beta, Dev e Canary) possono abilitare SDSM at edge: // flags / # edge-enable-super-duper-secure-mode e abilitare la nuova funzionalità.
La notizia arriva poco dopo che Microsoft Edge ha rivelato una serie di nuove opzioni. Opzioni di personalizzazione per gli utenti, inclusa la possibilità di modificare la voce predefinita relativa all'autorizzazione alla riproduzione automatica dei contenuti multimediali nel browser, nonché la possibilità di "disattivare" gli avvisi sullo stato della password per un determinato sito Web. Naturalmente, nella community, apprezziamo lo sforzo di Microsoft per ridurre la superficie di attacco per gli utenti finali che a priori non hanno richiesto tutto il JavaScript disponibile oggi sulle pagine web.
Infine se sei interessato a saperne di più di, Puoi controllare i dettagli nel seguente link.