Het Microsoft Edge Vulnerability Research-team heeft een paar dagen geleden aangekondigd dat: experimenteren met een nieuwe functie in de browser. Het experiment omvat het opzettelijk uitschakelen van de JIT-compiler JavaScript en WebAssembly, daarbij u krijgt een grote optimalisatie en prestatieverbetering om meer geavanceerde beveiligingsupdates mogelijk te maken in wat het bedrijf Edge Super Duper Secure Mode noemt.
Het bedrijf legde uit dat het idee is om het aanvalsoppervlak van de exploits te verkleinen moderne systemen die zijn gebaseerd op JavaScript-fouten en die de operationele kosten voor aanvallers drastisch verhogen.
Microsoft vermeldt dat Chromium, dat op zijn beurt is gebaseerd op de JavaScript V8-engine, een open source-engine, wordt geleverd met een JIT-compiler die een cruciale rol speelt in alle huidige webbrowsers en werkt door JavaScript van tevoren in machinecode te compileren. waarmee als de browser deze code nodig heeft, deze wordt versneld, als deze deze niet nodig heeft, wordt de code verwijderd.
Dat gezegd hebbende, zijn browserleveranciers het erover eens dat de JIT-compilerondersteuning in V8 complex is, aangezien maar heel weinig mensen het begrijpen en er een lage foutmarge is.
Op basis van CVE-gegevens die sinds 2019 zijn verzameld, was ongeveer 45% van de kwetsbaarheden in de JavaScript-engine en WebAssembly V8 gerelateerd aan de JIT-compiler, of meer dan de helft van alle kwetsbaarheden in Chrome.
“Websites hebben geen JavaScript nodig, wat het echt nodig heeft, zijn webapplicaties van één pagina met anti-templates zoals oneindig scrollen. Je krijgt er twee dingen voor terug: een supersnel internet en een veiligere webbrowser. Amazon ondersteunt bijvoorbeeld heel goed gebruik zonder JavaScript. Een ander experiment is Stackoverflow, dingen als preview en highlighting werken niet. De markering kan worden toegevoegd met code aan de serverzijde, maar het kost CPU-tijd en het is niet uw CPU-tijd. Is het je CPU-tijd? »We lezen in de commentaren.
Daarom aangemoedigd door deze resultaten, het Edge-team is momenteel aan het werk in wat het virtual reality-team noemt "Super Duper Veilige Modus", een Edge-configuratie waarin u de JIT-compiler uitschakelt en drie andere beveiligingsfuncties inschakelt, waaronder Intel's CET-technologie (ControlFlow-Enforcement Technology) en het Windows ACG-systeem (Arbitrary Code Guard) - twee functies die normaal gesproken in strijd zijn met de implementatie van JIT V8 .
"Door de JIT-compiler uit te schakelen, kunnen we mitigaties mogelijk maken en het moeilijker maken om beveiligingsbugs te misbruiken in elk onderdeel van het weergaveproces", schreef hij. Deze vermindering van het aanvalsoppervlak doodt de helft van de bugs die we in exploits zien, waarbij elke resterende bug moeilijker te exploiteren is. Anders gezegd: we verlagen de kosten voor gebruikers, maar verhogen de kosten voor aanvallers."
Echter Microsoft-testen vond dat Edge-versies zonder de JIT-compiler hadden ze een vermindering van 16,9% in laadtijd van de pagina en een vermindering van 2,3% in geheugengebruik. Maar dit experiment was slechts voorlopig en Super Duper Secure Mode (SDSM) zal niet snel deel uitmaken van de officiële versie van Microsoft Edge.
Pre-release gebruikers van Microsoft Edge (inclusief Beta, Dev en Canary) kunnen SDSM aan de rand inschakelen: // flags / # edge-enable-super-duper-secure-mode en de nieuwe functie inschakelen.
Het nieuws komt kort nadat Microsoft Edge een groot aantal nieuwe opties heeft onthuld. Personalisatie-opties voor gebruikers, inclusief de mogelijkheid om de standaardinvoer te wijzigen met betrekking tot toestemming om media automatisch af te spelen in de browser, evenals de mogelijkheid om wachtwoordstatuswaarschuwingen voor een bepaalde website uit te schakelen. Natuurlijk waarderen we in de gemeenschap de inspanningen van Microsoft om het aanvalsoppervlak te verkleinen voor eindgebruikers die a priori niet al het JavaScript hebben aangevraagd dat tegenwoordig op webpagina's wordt verzonden.
Eindelijk als je meer wilt weten over, U kunt de details in de volgende link bekijken.