मायक्रोसॉफ्ट एज भेनेरबिलिटी रिसर्च टीमने काही दिवसांपूर्वी याची घोषणा केली नवीन कार्यासह प्रयोग ब्राउझर मध्ये. प्रयोग JIT संकलक हेतुपुरस्सर अक्षम करणे समाविष्ट आहे जावास्क्रिप्ट आणि वेब असेंब्ली, त्याद्वारे आपल्याला एक प्रमुख ऑप्टिमायझेशन आणि कार्यप्रदर्शन सुधारणा मिळते कंपनी ज्याला एज सुपर डुपर सिक्योर मोड म्हणते त्यामध्ये अधिक प्रगत सुरक्षा अद्यतने सक्षम करण्यासाठी.
कंपनीने स्पष्ट केले शोषणाचा हल्ला पृष्ठभाग कमी करण्याचा विचार आहे आधुनिक प्रणाली जे जावास्क्रिप्ट दोषांवर आधारित आहेत आणि हल्लेखोरांच्या ऑपरेशनची किंमत नाटकीयपणे वाढवतात.
मायक्रोसॉफ्टने नमूद केले आहे की क्रोमियम, जे जावास्क्रिप्ट व्ही 8 इंजिनवर आधारित आहे, एक ओपन सोर्स इंजिन आहे, जेआयटी कंपाइलरसह येते जे सर्व वर्तमान वेब ब्राउझरमध्ये महत्त्वपूर्ण भूमिका बजावते आणि जावास्क्रिप्ट घेऊन आणि मशीन कोडमध्ये आगाऊ संकलित करून कार्य करते. ज्यासह ब्राउझरला या कोडची आवश्यकता असल्यास, ते वेगवान केले जाईल, जर त्याची आवश्यकता नसेल तर कोड हटवला जाईल.
ते म्हणाले, ब्राउझर विक्रेते सहमत आहेत की व्ही 8 मधील जेआयटी संकलक समर्थन जटिल आहे कारण फारच कमी लोकांना ते समजते आणि त्यात त्रुटीचे कमी अंतर आहे.
2019 पासून गोळा केलेल्या CVE डेटावर आधारित, जावास्क्रिप्ट इंजिन आणि WebAssembly V45 मध्ये आढळलेल्या अंदाजे 8% असुरक्षा जेआयटी कंपाइलरशी संबंधित होत्या, किंवा क्रोममधील सर्व असुरक्षांपैकी अर्ध्याहून अधिक.
“वेबसाईट्सना जावास्क्रिप्टची आवश्यकता नसते, ज्याची खरोखर गरज असते ती म्हणजे अनंत स्क्रोलिंग सारख्या अँटी-टेम्प्लेटसह एकल पृष्ठ वेब अनुप्रयोग. त्या बदल्यात तुम्हाला दोन गोष्टी मिळतात, एक सुपर डुपर फास्ट वेब आणि अधिक सुरक्षित वेब ब्राउझर. उदाहरणार्थ, Amazonमेझॉन जावास्क्रिप्टशिवाय वापरण्यास चांगले समर्थन देते. दुसरा प्रयोग म्हणजे स्टॅकओव्हरफ्लो, पूर्वावलोकन आणि हायलाइटिंग सारख्या गोष्टी काम करत नाहीत. हायलाइटिंग सर्व्हर-साइड कोडसह जोडले जाऊ शकते, परंतु त्यासाठी CPU वेळ लागेल आणि हा आपला CPU वेळ नाही. तुमची CPU वेळ आहे का? »आम्ही टिप्पण्यांमध्ये वाचतो.
म्हणूनच या निकालांनी प्रोत्साहित केले, एज टीम सध्या कार्यरत आहे व्हर्च्युअल रिअॅलिटी टीम काय म्हणते "सुपर डुपर सुरक्षित मोड", एक एज कॉन्फिगरेशन ज्यामध्ये आपण JIT कंपाईलर अक्षम करता आणि इंटेलची CET (ControlFlow -Enforcement Technology) तंत्रज्ञान आणि Windows ACG (अनियंत्रित कोड गार्ड) प्रणालीसह इतर तीन सुरक्षा वैशिष्ट्ये सक्षम करता - दोन वैशिष्ट्ये जे साधारणपणे JIT V8 च्या अंमलबजावणीला विरोध करतील. .
"जेआयटी संकलक अक्षम करून, आम्ही शमन सक्षम करू शकतो आणि प्रस्तुती प्रक्रियेच्या कोणत्याही घटकामध्ये सुरक्षा दोषांचे शोषण करणे अधिक कठीण करू शकतो," त्यांनी लिहिले. हल्ल्याच्या पृष्ठभागामध्ये ही घट आम्ही शोषणामध्ये पाहत असलेल्या अर्ध्या बगांना मारते, प्रत्येक उर्वरित बगचे शोषण करणे कठीण होते. दुसर्या प्रकारे सांगायचे तर, आम्ही वापरकर्त्यांसाठी खर्च कमी करत आहोत, परंतु हल्लेखोरांसाठी खर्च वाढत आहे. "
तथापि, मायक्रोसॉफ्ट चाचणी एज आवृत्त्या आढळल्या जेआयटी कंपायलरशिवाय त्यांच्याकडे लोड वेळेत 16,9% कपात होती पृष्ठाचे आणि मेमरी वापरात 2,3% घट. परंतु हा प्रयोग केवळ तात्पुरता होता आणि सुपर ड्युपर सिक्योर मोड (SDSM) लवकरच मायक्रोसॉफ्ट एजच्या अधिकृत आवृत्तीचा भाग होणार नाही.
तथापि, मायक्रोसॉफ्ट एजचे पूर्व-रिलीझ वापरकर्ते (बीटा, देव आणि कॅनरीसह) SDSM एज: // फ्लॅग्स / # एज-एनेबल-सुपर-डुपर-सुरक्षित-मोड आणि नवीन वैशिष्ट्य सक्षम करण्यास सक्षम करू शकतात.
मायक्रोसॉफ्ट एजने अनेक नवीन पर्याय उघडल्यानंतर थोड्याच वेळात ही बातमी आली. वापरकर्त्यांसाठी पर्सनलायझेशन पर्याय, ज्यात ब्राउझरमध्ये मीडिया ऑटोप्ले करण्याची परवानगी संबंधित डीफॉल्ट एंट्री बदलण्याची क्षमता तसेच विशिष्ट वेबसाइटसाठी पासवर्ड स्टेटस अलर्ट "बंद" करण्याची क्षमता समाविष्ट आहे. अर्थातच, समुदायात, आम्ही अंतिम वापरकर्त्यांसाठी आक्रमण पृष्ठभाग कमी करण्याच्या मायक्रोसॉफ्टच्या प्रयत्नांचे कौतुक करतो ज्यांनी प्राधान्याने आज वेब पृष्ठांवर पाठवलेल्या सर्व जावास्क्रिप्टची विनंती केली नाही.
शेवटी आपण अधिक जाणून घेण्यात स्वारस्य असल्यास बद्दल, आपण खालील लिंकवर तपशील तपासू शकता.