Microsoft Edge Güvenlik Açığı Araştırma Ekibi birkaç gün önce şunu duyurdu: yeni bir fonksiyonla deneme tarayıcıda. Deney JIT derleyicisinin kasıtlı olarak devre dışı bırakılmasını içerir JavaScript ve WebAssembly, böylece büyük bir optimizasyon ve performans iyileştirmesi elde edersiniz Şirketin Edge Super Duper Secure Mode dediği şeyde daha gelişmiş güvenlik güncellemelerini etkinleştirmek için.
Şirket açıkladı fikir, istismarların saldırı yüzeyini azaltmaktır JavaScript kusurlarına dayanan ve saldırganlar için operasyon maliyetini önemli ölçüde artıran modern sistemler.
Microsoft, açık kaynaklı bir motor olan JavaScript V8 motorunu temel alan Chromium'un, mevcut tüm web tarayıcılarında çok önemli bir rol oynayan ve JavaScript'i alıp makine koduna önceden derleyerek çalışan bir JIT derleyicisi ile birlikte geldiğini belirtiyor. tarayıcının bu koda ihtiyacı varsa hızlandırılır, gerekmiyorsa kod silinir.
Bununla birlikte, tarayıcı satıcıları, V8'deki JIT derleyici desteğinin karmaşık olduğu konusunda hemfikirdir, çünkü çok az kişi bunu anlar ve hata payı düşüktür.
2019'dan beri toplanan CVE verilerine göre, JavaScript motorunda ve WebAssembly V45'de bulunan güvenlik açıklarının yaklaşık %8'i JIT derleyicisiyle veya Chrome'daki tüm güvenlik açıklarının yarısından fazlası ile ilgilidir.
“Web siteleri JavaScript gerektirmez, asıl ihtiyaç duyulan şey sonsuz kaydırma gibi anti-şablonlara sahip tek sayfalık web uygulamalarıdır. Karşılığında iki şey elde edersiniz, süper hızlı bir web ve daha güvenli bir web tarayıcısı. Örneğin Amazon, JavaScript olmadan kullanımı çok iyi destekler. Başka bir deney Stackoverflow, önizleme ve vurgulama gibi şeyler çalışmıyor. Vurgulama, sunucu tarafı koduyla eklenebilir, ancak bu, CPU zamanına mal olur ve bu sizin CPU zamanınız değildir. CPU zamanınız mı? »Yorumlarda okuyoruz.
Bu nedenle bu sonuçlardan cesaret alarak, Edge ekibi şu anda çalışıyor sanal gerçeklik ekibinin dediği gibi "Süper Duper Güvenli Mod", JIT derleyicisini devre dışı bıraktığınız ve Intel'in CET (ControlFlow-Enforcement Teknolojisi) teknolojisi ve Windows ACG (Keyfi Kod Koruması) sistemi dahil olmak üzere diğer üç güvenlik özelliğini etkinleştirdiğiniz bir Edge yapılandırması - normalde JIT V8'in uygulanmasıyla çelişebilecek iki özellik .
"JIT derleyicisini devre dışı bırakarak, azaltmaları etkinleştirebilir ve oluşturma sürecinin herhangi bir bileşeninde güvenlik hatalarından yararlanmayı zorlaştırabiliriz" diye yazdı. Saldırı yüzeyindeki bu azalma, açıklardan yararlanmalarda gördüğümüz hataların yarısını öldürür ve kalan her bir hatadan yararlanılması zorlaşır. Başka bir deyişle, kullanıcılar için maliyetleri düşürürken, saldırganlar için maliyetleri artırıyoruz."
Sin ambargo, Microsoft testi Edge sürümlerini buldu JIT derleyicisi olmadan yükleme süresinde %16,9 azalma oldu sayfanın ve bellek kullanımında %2,3 azalma. Ancak bu deneme yalnızca geçiciydi ve Süper Duper Güvenli Mod (SDSM), yakın zamanda Microsoft Edge'in resmi sürümünün bir parçası olmayacak.
Ancak, Microsoft Edge'in yayın öncesi kullanıcıları (Beta, Dev ve Canary dahil) SDSM'yi edge: // flags / # edge-enable-super-duper-secure-mode ve yeni özelliği etkinleştirebilir.
Haber, Microsoft Edge'in bir dizi yeni seçeneği açıklamasından kısa bir süre sonra geliyor. Tarayıcıda medyayı otomatik oynatma izniyle ilgili varsayılan girişi değiştirme yeteneğinin yanı sıra belirli bir web sitesi için şifre durumu uyarılarını "kapatma" yeteneği de dahil olmak üzere kullanıcılar için kişiselleştirme seçenekleri. Elbette topluluk içinde, bugün web sayfalarında bulunan tüm JavaScript'i önceden talep etmeyen son kullanıcılar için Microsoft'un saldırı yüzeyini azaltma çabasını takdir ediyoruz.
Nihayet daha fazlasını bilmekle ilgileniyorsanız hakkında, Ayrıntıları aşağıdaki bağlantıdan kontrol edebilirsiniz.