צוות מחקר הפגיעות של Microsoft Edge הודיע על כך לפני מספר ימים להתנסות בפונקציה חדשה בדפדפן. הניסוי כולל השבתה מכוונת JIT בכוונה JavaScript ו- WebAssemble, ובכך אתה מקבל אופטימיזציה ושיפור ביצועים משמעותי לאפשר עדכוני אבטחה מתקדמים יותר במה שהחברה מכנה Edge Super Duper Secure Mode.
החברה הסבירה זאת הרעיון הוא לצמצם את פני ההתקפה של מעללי מערכות מודרניות המבוססות על פגמים ב- JavaScript ומעלות באופן דרמטי את עלות הפעולה של התוקפים.
מיקרוסופט מזכירה כי Chromium, שמבוסס בתורו על מנוע ה- JavaScript V8, מנוע קוד פתוח, מגיע עם מהדר JIT אשר ממלא תפקיד מכריע בכל דפדפני האינטרנט הנוכחיים ופועל על ידי לקיחת JavaScript וריכוז קוד המכונה מראש. שאיתו הדפדפן צריך את הקוד הזה, הוא יואץ, אם הוא לא צריך אותו, הקוד יימחק.
עם זאת, ספקי הדפדפנים מסכימים שתמיכת מהדר JIT ב- V8 מורכבת מכיוון שמעט מאוד אנשים מבינים אותה ויש לה מרווח שגיאות נמוך.
בהתבסס על נתוני CVE שנאספו מאז 2019, כ -45% מהפגיעויות שנמצאו במנוע ה- JavaScript וב- WebAssemble V8 היו קשורות למהדר JIT, או יותר ממחצית מכלל הפגיעות ב- Chrome.
“אתרי אינטרנט אינם דורשים JavaScript, מה שבאמת צריך זה יישומי אינטרנט של דף אחד עם תבניות נגד כמו גלילה אינסופית. אתה מקבל שני דברים בתמורה, אינטרנט מהיר במיוחד ודפדפן אינטרנט מאובטח יותר. לדוגמה, אמזון תומכת היטב בשימוש ללא JavaScript. ניסוי נוסף הוא Stackoverflow, דברים כמו תצוגה מקדימה והדגשה אינם עובדים. ניתן להוסיף את ההדגשה באמצעות קוד בצד השרת, אך זה יעלה זמן מעבד, וזה לא זמן המעבד שלך. האם זה זמן המעבד שלך? »קראנו בתגובות.
לכן מעודדים מהתוצאות הללו, צוות Edge עובד כרגע במה שצוות המציאות המדומה קורא "מצב מאובטח של סופר דופר", תצורת Edge שבה אתה משבית את מהדר JIT ומאפשר שלוש תכונות אבטחה נוספות, כולל טכנולוגיית CET (ControlFlow -Enforcement Technology) של אינטל ומערכת Windows ACG (Arbitrary Code Guard) - שתי תכונות שבדרך כלל יתנגשו עם יישום JIT V8 .
"על ידי השבתת מהדר JIT, אנו יכולים לאפשר הפחתות ולהקשות על ניצול באגי אבטחה בכל מרכיב בתהליך העיבוד", כתב. הפחתה זו במשטח ההתקפה הורגת מחצית מהבאגים שאנו רואים במעלולים, כאשר כל באג שנותר הופך להיות קשה יותר לניצול. במילים אחרות, אנו מפחיתים עלויות למשתמשים, אך מגדילים עלויות לתוקפים ".
עם זאת, בדיקות של מיקרוסופט מצא שגירסאות Edge ללא מהדר JIT הייתה להם הפחתה של 16,9% בזמן הטעינה של העמוד וירידה של 2,3% בשימוש בזיכרון. אך ניסוי זה היה רק מהוסס ומצב מאובטח של Super Duper (SDSM) לא יהיה חלק מהגרסה הרשמית של Microsoft Edge בקרוב.
עם זאת, משתמשי טרום שחרור של Microsoft Edge (כולל Beta, Dev ו- Canary) יכולים לאפשר SDSM ב- edge: // flags / # edge-enable-super-duper-secure-mode ולהפעיל את התכונה החדשה.
החדשות מגיעות זמן קצר לאחר ש- Microsoft Edge חשף שלל אפשרויות חדשות. אפשרויות התאמה אישית למשתמשים, כולל היכולת לשנות את ערך ברירת המחדל לגבי הרשאה להפעלה אוטומטית של מדיה בדפדפן, כמו גם היכולת "לכבות" התראות על סטטוס סיסמה לאתר מסוים. כמובן, בקהילה, אנו מעריכים את המאמץ של מיקרוסופט לצמצם את משטח ההתקפה עבור משתמשי קצה אשר אפריורי לא ביקשו את כל ה- JavaScript שנשלח בדפי אינטרנט כיום.
בסופו של דבר אם אתה מעוניין לדעת יותר על אודות, תוכלו לבדוק את הפרטים בקישור הבא.