Тим за истраживање рањивости Мицрософт Едге објавио је пре неколико дана експериментисање са новом функцијом у прегледачу. Експеримент укључује намерно онемогућавање ЈИТ компајлера ЈаваСцрипт и ВебАссембли, дакле добијате велику оптимизацију и побољшање перформанси како би се омогућила напреднија безбедносна ажурирања у ономе што компанија назива Едге Супер Дупер Сецуре Моде.
Компанија је то објаснила идеја је да се смањи површина напада експлоатације савремени системи који се заснивају на недостацима ЈаваСцрипт -а и драматично повећавају трошкове рада нападача.
Мицрософт напомиње да Цхромиум, који је пак заснован на ЈаваСцрипт В8 мотору, отвореном коду, долази са ЈИТ компајлером који игра кључну улогу у свим тренутним веб прегледачима и функционише тако што преузима ЈаваСцрипт и компилира га унапред у машински код. са којим ће, ако је претраживачу потребан овај код, бити убрзан, ако му није потребан, код се брише.
Упркос томе, продавци претраживача слажу се да је подршка за компајлере ЈИТ -а у В8 сложена јер је врло мали број људи разуме и има ниску маргину грешака.
На основу ЦВЕ података прикупљених од 2019. године, приближно 45% рањивости пронађених у ЈаваСцрипт мотору и ВебАссембли В8 односило се на ЈИТ компајлер, или више од половине свих рањивости у Цхромеу.
„Веб локације не захтевају ЈаваСцрипт, оно што им заиста треба су веб странице на једној страници са анти-предлошцима попут бесконачног померања. Заузврат добијате две ствари, супер дупер брз веб и сигурнији веб прегледач. На пример, Амазон веома добро подржава употребу без ЈаваСцрипт -а. Још један експеримент је Стацковерфлов, ствари попут прегледа и истицања не раде. Истицање се може додати помоћу кода на страни сервера, али ће коштати ЦПУ-ово време, а не ваше ЦПУ-ово време. Да ли вам је време за ЦПУ? »Читали смо у коментарима.
Зато охрабрени овим резултатима, Едге тим тренутно ради у ономе што тим за виртуелну стварност назива "Супер Дупер сигуран начин", Едге конфигурација у којој онемогућујете ЈИТ компајлер и омогућавате три друге безбедносне функције, укључујући Интелову ЦЕТ (ЦонтролФлов -Енфорцемент Тецхнологи) технологију и Виндовс АЦГ (Арбитрари Цоде Цоде Гуард) систем - две функције које би обично биле у сукобу са имплементацијом ЈИТ В8 .
"Онемогућавањем ЈИТ компајлера можемо омогућити ублажавање и отежати коришћење безбедносних грешака у било којој компоненти процеса исцртавања", написао је он. Ово смањење површине напада убија половину грешака које видимо у експлоатацији, а сваку преосталу грешку постаје све теже искористити. Другим речима, смањујемо трошкове за кориснике, али повећавамо трошкове нападачима. "
Међутим, Мицрософт тестирање открили да Едге верзије без компајлера ЈИТ имали су смањење времена учитавања за 16,9% странице и смањење употребе меморије за 2,3%. Али овај експеримент је био само пробни и Супер Дупер Сецуре Моде (СДСМ) неће ускоро бити део званичне верзије Мицрософт Едге -а.
Међутим, корисници Мицрософт Едге-а пре издања (укључујући Бета, Дев и Цанари) могу омогућити СДСМ на едге: // флагс / # едге-енабле-супер-дупер-сецуре-моде и омогућити нову функцију.
Вест долази убрзо након што је Мицрософт Едге открио мноштво нових опција. Опције персонализације за кориснике, укључујући могућност промене подразумеваног уноса у вези са дозволом за аутоматску репродукцију медија у прегледачу, као и могућност „искључивања“ упозорења о статусу лозинке за одређену веб локацију. Наравно, у заједници ценимо Мицрософтов труд да смањи површину напада за крајње кориснике који априори нису затражили сав ЈаваСцрипт који се данас налази на веб страницама.
Коначно ако сте заинтересовани да сазнате више О томе, Детаље можете погледати на следећем линку.