Skupina za raziskave ranljivosti Microsoft Edge je pred dnevi sporočila, da eksperimentiranje z novo funkcijo v brskalniku. Poskus vključuje namerno onemogočanje prevajalnika JIT JavaScript in WebAssembly dobite veliko optimizacijo in izboljšanje zmogljivosti omogočiti naprednejše varnostne posodobitve v tem, kar podjetje imenuje Edge Super Duper Secure Mode.
Družba je to pojasnila ideja je zmanjšati napadalno površino podvigov sodobni sistemi, ki temeljijo na pomanjkljivostih JavaScript in dramatično povečajo stroške delovanja napadalcev.
Microsoft omenja, da Chromium, ki pa temelji na odprtokodnem motorju JavaScript V8, prihaja s prevajalnikom JIT, ki igra ključno vlogo v vseh trenutnih spletnih brskalnikih in deluje tako, da vzame JavaScript in ga vnaprej prevede v strojno kodo. s katerim, če brskalnik potrebuje to kodo, se pospeši, če je ne potrebuje, se koda izbriše.
Kljub temu se prodajalci brskalnikov strinjajo, da je podpora prevajalnika JIT v V8 zapletena, saj jo razume le malo ljudi in ima nizke možnosti za napake.
Na podlagi podatkov CVE, zbranih od leta 2019, je bilo približno 45% ranljivosti, najdenih v motorju JavaScript in WebAssembly V8, povezanih s prevajalnikom JIT ali več kot polovica vseh ranljivosti v Chromu.
»Spletna mesta ne potrebujejo JavaScripta, kar resnično potrebuje, so spletne strani za eno stran z anti-predlogami, kot je neskončno drsenje. V zameno dobite dve stvari, super hiter splet in varnejši spletni brskalnik. Na primer, Amazon zelo dobro podpira uporabo brez JavaScripta. Drug poskus je Stackoverflow, stvari, kot sta predogled in označevanje, ne delujejo. Poudarjanje je mogoče dodati s kodo na strani strežnika, vendar bo to stalo čas CPU-ja in to ni vaš čas CPU-ja. Je vaš CPU čas? »Prebrali smo v komentarjih.
Zato so spodbujeni s temi rezultati, ekipa Edge trenutno deluje v tem, kar kliče ekipa za virtualno resničnost "Super Duper varen način", konfiguracijo Edge, v kateri onemogočite prevajalnik JIT in omogočite tri druge varnostne funkcije, vključno z Intelovo tehnologijo CET (ControlFlow -Enforcement Technology) in sistemom Windows ACG (Arbitrary Code Code Guard) - dve funkciji, ki bi bile običajno v nasprotju z izvajanjem JIT V8 .
"Z onemogočanjem prevajalnika JIT lahko omogočimo omilitve in otežimo izkoriščanje varnostnih napak v kateri koli komponenti procesa upodabljanja," je zapisal. To zmanjšanje površine napada ubija polovico hroščev, ki jih vidimo pri izkoriščanju, pri čemer je vsako preostalo hrošče težje izkoristiti. Drugače povedano, zmanjšujemo stroške za uporabnike, povečujemo pa stroške za napadalce. "
Vendar pa Microsoftovo testiranje ugotovila, da Edge različice brez prevajalnika JIT so imeli čas nalaganja za 16,9% manjši strani in 2,3% zmanjšanje porabe pomnilnika. Toda ta poskus je bil le okvirni in Super Duper Secure Mode (SDSM) ne bo kmalu del uradne različice Microsoft Edge.
Uporabniki Microsoft Edge pred izdajo (vključno z različicami Beta, Dev in Canary) pa lahko omogočijo SDSM pri rob: // flags / # edge-enable-super-duper-secure-mode in omogočijo novo funkcijo.
Novica prihaja kmalu zatem, ko je Microsoft Edge razkril množico novih možnosti. Možnosti prilagajanja za uporabnike, vključno z možnostjo spreminjanja privzetega vnosa v zvezi z dovoljenjem za samodejno predvajanje medijev v brskalniku, kot tudi možnost "izklopa" opozoril o stanju gesla za določeno spletno mesto. Seveda v skupnosti cenimo Microsoftova prizadevanja za zmanjšanje površine napada za končne uporabnike, ki a priori še niso zahtevali vsega JavaScripta, ki je danes na voljo na spletnih straneh.
Končno če vas zanima več približno, Podrobnosti lahko preverite na naslednji povezavi.