Microsoft Edge Vulnerability Research Team kunngjorde det for noen dager siden eksperimentere med en ny funksjon i nettleseren. Eksperimentet innebærer bevisst deaktivering av JIT -kompilatoren JavaScript og WebAssemble, og dermed du får en stor optimalisering og ytelsesforbedring for å aktivere mer avanserte sikkerhetsoppdateringer i det selskapet kaller Edge Super Duper Secure Mode.
Selskapet forklarte det tanken er å redusere angrepsflaten til bedriftene moderne systemer som er basert på JavaScript -feil og dramatisk øker driftskostnadene for angripere.
Microsoft nevner at Chromium, som igjen er basert på JavaScript V8 -motoren, en åpen kildekode -motor, kommer med en JIT -kompilator som spiller en avgjørende rolle i alle nåværende nettlesere og fungerer ved å ta JavaScript og kompilere det i maskinkode på forhånd. som hvis nettleseren trenger denne koden, vil den bli akselerert, hvis den ikke trenger den, slettes koden.
Når det er sagt, er nettleserleverandørene enige om at JIT -kompilatorstøtte i V8 er kompleks ettersom de færreste forstår det, og det har en lav feilmargin.
Basert på CVE -data samlet inn siden 2019, var omtrent 45% av sårbarhetene som ble funnet i JavaScript -motoren og WebAssemble V8 relatert til JIT -kompilatoren, eller mer enn halvparten av alle sårbarhetene i Chrome.
“Nettsteder krever ikke JavaScript, det som virkelig trenger det er enkeltsidede webapplikasjoner med antimaler som uendelig rulling. Du får to ting tilbake, en super duper rask web og en sikrere nettleser. For eksempel støtter Amazon veldig godt bruk uten JavaScript. Et annet eksperiment er Stackoverflow, ting som forhåndsvisning og utheving fungerer ikke. Uthevingen kan legges til med server-side-kode, men det vil koste CPU-tid, og det er ikke CPU-tiden din. Er det CPU -tiden din? »Vi leser i kommentarene.
Det er derfor oppmuntret av disse resultatene, Edge -teamet jobber for tiden i det virtual reality -teamet kaller "Sikker modus for Super Duper", en Edge -konfigurasjon der du deaktiverer JIT -kompilatoren og aktiverer tre andre sikkerhetsfunksjoner, inkludert Intels CET (ControlFlow -Enforcement Technology) -teknologi og Windows ACG (Arbitrary Code Guard) -systemet - to funksjoner som normalt vil komme i konflikt med implementeringen av JIT V8 .
"Ved å deaktivere JIT -kompilatoren kan vi aktivere begrensninger og gjøre det vanskeligere å utnytte sikkerhetsfeil i en hvilken som helst del av gjengivelsesprosessen," skrev han. Denne reduksjonen i angrepsflaten dreper halvparten av feilene vi ser i bedrifter, med hver gjenværende feil som blir vanskeligere å utnytte. For å si det på en annen måte, reduserer vi kostnadene for brukerne, men øker kostnadene for angripere. "
Imidlertid Microsoft -testing fant ut at Edge -versjoner uten JIT -kompilatoren hadde de 16,9% reduksjon i lastetid av siden og en 2,3% reduksjon i minnebruk. Men dette eksperimentet var bare foreløpig, og Super Duper Secure Mode (SDSM) vil ikke snart være en del av den offisielle versjonen av Microsoft Edge.
Imidlertid kan pre-release-brukere av Microsoft Edge (inkludert Beta, Dev og Canary) aktivere SDSM på edge: // flags / # edge-enable-super-duper-secure-mode og aktivere den nye funksjonen.
Nyheten kommer kort tid etter at Microsoft Edge avslørte en rekke nye alternativer. Tilpassingsalternativer for brukere, inkludert muligheten til å endre standardoppføringen angående tillatelse til å automatisk spille av medier i nettleseren, samt muligheten til å "slå av" passordstatusvarsler for et bestemt nettsted. Selvfølgelig, i samfunnet, setter vi pris på Microsofts innsats for å redusere angrepsflaten for sluttbrukere som på forhånd ikke har bedt om all JavaScript som sendes på nettsider i dag.
Endelig hvis du er interessert i å vite mer Om, Du kan sjekke detaljene i følgende lenke.