Echipa de cercetare a vulnerabilității Microsoft Edge a anunțat acum câteva zile că experimentând cu o nouă funcție în browser. Experimentul implică dezactivarea intenționată a compilatorului JIT JavaScript și WebAssembly, prin urmare veți obține o optimizare majoră și o îmbunătățire a performanței pentru a activa actualizări de securitate mai avansate în ceea ce compania numește Edge Super Duper Secure Mode.
Compania a explicat că ideea este de a reduce suprafața de atac a exploatărilor sisteme moderne care se bazează pe defecte JavaScript și măresc dramatic costul operațiunii pentru atacatori.
Microsoft menționează că Chromium, care la rândul său se bazează pe motorul JavaScript V8, un motor open source, vine cu un compilator JIT care joacă un rol crucial în toate browserele web actuale și funcționează luând JavaScript și compilându-l în avans în codul mașinii. cu care, dacă browserul are nevoie de acest cod, acesta va fi accelerat, dacă nu are nevoie de acesta, codul este șters.
Acestea fiind spuse, furnizorii de browsere sunt de acord că suportul compilatorului JIT în V8 este complex, deoarece foarte puțini oameni îl înțeleg și are o marjă mică de eroare.
Pe baza datelor CVE colectate din 2019, aproximativ 45% din vulnerabilitățile găsite în motorul JavaScript și WebAssembly V8 au fost legate de compilatorul JIT, sau mai mult de jumătate din toate vulnerabilitățile din Chrome.
„Site-urile web nu necesită JavaScript, ceea ce are nevoie de el sunt aplicații web cu o singură pagină, cu anti-șabloane, cum ar fi defilarea infinită. În schimb, primiți două lucruri, un web super duper rapid și un browser web mai sigur. De exemplu, Amazon acceptă foarte bine utilizarea fără JavaScript. Un alt experiment este Stackoverflow, lucruri precum previzualizarea și evidențierea nu funcționează. Evidențierea poate fi adăugată cu codul de pe server, dar va costa timpul procesorului și nu este timpul procesorului dvs. Este timpul CPU? »Citim în comentarii.
De aceea, încurajat de aceste rezultate, echipa Edge lucrează în prezent în ceea ce numește echipa de realitate virtuală „Mod sigur Super Duper”, o configurație Edge în care dezactivați compilatorul JIT și activați alte trei caracteristici de securitate, inclusiv tehnologia Intel CET (ControlFlow-Enforcement Technology) și sistemul Windows ACG (Arbitrar Code Guard) - două caracteristici care ar intra în conflict în mod normal cu implementarea JIT V8 .
„Prin dezactivarea compilatorului JIT, putem activa atenuările și îngreunăm exploatarea erorilor de securitate în orice componentă a procesului de redare”, a scris el. Această reducere a suprafeței de atac ucide jumătate din bug-urile pe care le vedem în exploatări, fiecare bug rămas devenind mai greu de exploatat. În altă ordine de idei, reducem costurile pentru utilizatori, dar creștem costurile pentru atacatori. "
Sin embargo, Testarea Microsoft a constatat că versiunile Edge fără compilatorul JIT au avut o reducere de 16,9% a timpului de încărcare a paginii și o reducere de 2,3% a utilizării memoriei. Dar acest experiment a fost doar provizoriu, iar modul Super Duper Secure (SDSM) nu va face parte din versiunea oficială a Microsoft Edge în curând.
Cu toate acestea, utilizatorii pre-lansare Microsoft Edge (inclusiv Beta, Dev și Canary) pot activa SDSM la edge: // flags / # edge-enable-super-duper-secure-mode și activând noua caracteristică.
Știrea vine la scurt timp după ce Microsoft Edge a dezvăluit o serie de noi opțiuni. Opțiuni de personalizare pentru utilizatori, inclusiv posibilitatea de a modifica intrarea implicită cu privire la permisiunea de a reda automat media în browser, precum și posibilitatea de a „dezactiva” alertele de stare a parolei pentru un anumit site web. Desigur, în comunitate, apreciem efortul Microsoft de a reduce suprafața de atac pentru utilizatorii finali care a priori nu au solicitat toate JavaScript-urile livrate astăzi pe paginile web.
În cele din urmă dacă sunteți interesat să aflați mai multe despre, Puteți verifica detaliile în următorul link.