Ang koponan ng Microsoft Edge Vulnerability Research ay inihayag ng ilang araw na ang nakakaraan eksperimento sa isang bagong pag-andar sa browser. Ang eksperimento nagsasangkot ng sadyang hindi pagpapagana ng JIT compiler Ang JavaScript at WebAss Assembly, sa gayon nakakakuha ka ng isang pangunahing pag-optimize at pagpapabuti ng pagganap upang paganahin ang mas advanced na mga pag-update sa seguridad sa tinatawag ng kumpanya na Edge Super Duper Secure Mode.
Ipinaliwanag ng kumpanya na ang ideya ay upang mabawasan ang atake sa ibabaw ng mga exploit modernong mga system na batay sa mga kamalian ng JavaScript at kapansin-pansing taasan ang halaga ng pagpapatakbo para sa mga umaatake.
Nabanggit ng Microsoft na ang Chromium, na siya namang ay batay sa JavaScript V8 engine, isang open source engine, ay mayroong isang JIT compiler na may mahalagang papel sa lahat ng kasalukuyang mga web browser at gumagana sa pamamagitan ng pagkuha ng JavaScript at pag-iipon nito sa machine code nang maaga. kung saan kung kailangan ng browser ang code na ito, mapabilis ito, kung hindi ito kailangan nito, tatanggal ang code.
Sinabi nito, sumasang-ayon ang mga vendor ng browser na ang suporta ng JIT compiler sa V8 ay kumplikado dahil kakaunti ang nakakaintindi nito at mayroon itong mababang margin para sa error.
Batay sa data ng CVE na nakolekta mula pa noong 2019, humigit-kumulang 45% ng mga kahinaan na natagpuan sa JavaScript engine at WebAss Assembly V8 na nauugnay sa JIT compiler, o higit sa kalahati ng lahat ng mga kahinaan sa Chrome.
"Ang mga website ay hindi nangangailangan ng JavaScript, kung ano talaga ang kailangan nito ay mga solong application ng web page na may mga anti-template tulad ng walang katapusang pag-scroll. Makakakuha ka ng dalawang bagay bilang kapalit, isang sobrang duper na mabilis na web at isang mas ligtas na web browser. Halimbawa, napakahusay na sinusuportahan ng Amazon ang paggamit nang walang JavaScript. Ang isa pang eksperimento ay Stackoverflow, hindi gagana ang mga bagay tulad ng preview at pag-highlight. Maaaring maidagdag ang pagha-highlight sa server-side code, ngunit gastos ang oras ng CPU, at hindi ito ang iyong oras ng CPU. Ang oras ba ng iyong CPU? »Nabasa namin sa mga komento.
Iyon ang dahilan kung bakit hinihikayat ng mga resulta, ang koponan ng Edge ay kasalukuyang nagtatrabaho sa kung ano ang tawag sa virtual reality team "Super Duper Secure Mode", isang pag-configure ng Edge kung saan hindi mo pinagana ang tagatala ng JIT at paganahin ang tatlong iba pang mga tampok sa seguridad, kabilang ang teknolohiya ng CET (ControlFlow-Enforcement Technology) ng Intel at ang sistema ng Windows ACG (Arbitrary Code Guard) na sistema - dalawang tampok na karaniwang sumasalungat sa pagpapatupad ng JIT V8 .
"Sa pamamagitan ng hindi pagpapagana sa JIT compiler, maaari naming paganahin ang mga mitigations at gawing mas mahirap na samantalahin ang mga security bug sa anumang bahagi ng proseso ng pag-render," isinulat niya. Ang pagbawas sa ibabaw ng pag-atake ay pumapatay sa kalahati ng mga bug na nakikita natin sa mga pagsasamantala, sa bawat natitirang bug na nagiging mahirap na samantalahin. Upang mailagay ito sa ibang paraan, binabawasan namin ang mga gastos para sa mga gumagamit, ngunit pinapataas ang mga gastos para sa mga umaatake. "
Gayunpaman, Pagsubok sa Microsoft natagpuan na ang mga bersyon ng Edge nang walang JIT compiler mayroon silang isang 16,9% na pagbawas sa oras ng pag-load ng pahina at isang 2,3% na pagbawas sa paggamit ng memorya. Ngunit ang eksperimentong ito ay pansamantala lamang at ang Super Duper Secure Mode (SDSM) ay hindi magiging bahagi ng opisyal na bersyon ng Microsoft Edge anumang oras sa lalong madaling panahon.
Gayunpaman, ang mga pre-release na gumagamit ng Microsoft Edge (kasama ang Beta, Dev, at Canary) ay maaaring paganahin ang SDSM sa gilid: // flags / # edge-enable-super-duper-secure-mode at pagpapagana ng bagong tampok.
Ang balita ay dumating ilang sandali lamang matapos magsiwalat ang Microsoft Edge ng maraming mga bagong pagpipilian. Mga pagpipilian sa pag-personalize para sa mga gumagamit, kabilang ang kakayahang baguhin ang default na entry tungkol sa pahintulot na mag-autoplay media sa browser, pati na rin ang kakayahang "patayin" ang mga alerto sa katayuan ng password para sa isang partikular na website. Siyempre, sa komunidad, pinahahalagahan namin ang pagsisikap ng Microsoft na bawasan ang atake sa ibabaw para sa mga end user na hindi hiniling ng isang priori ang lahat ng JavaScript na ipinadala sa mga web page ngayon.
Sa wakas kung interesado kang malaman ang higit pa tungkol sa, Maaari mong suriin ang mga detalye sa sumusunod na link.