Vài ngày trước, nhóm Nghiên cứu lỗ hổng bảo mật của Microsoft Edge đã thông báo rằng thử nghiệm với một chức năng mới trong trình duyệt. Cuộc thí nghiệm liên quan đến việc cố ý vô hiệu hóa trình biên dịch JIT JavaScript và WebAssembly, do đó bạn nhận được một sự tối ưu hóa lớn và cải thiện hiệu suất để kích hoạt các bản cập nhật bảo mật nâng cao hơn trong cái mà công ty gọi là Chế độ bảo mật Edge Super Duper.
Công ty giải thích rằng ý tưởng là giảm bề mặt tấn công của các hoạt động khai thác các hệ thống hiện đại dựa trên các lỗ hổng JavaScript và làm tăng đáng kể chi phí hoạt động cho những kẻ tấn công.
Microsoft đề cập rằng Chromium, dựa trên JavaScript V8 engine, một công cụ mã nguồn mở, đi kèm với trình biên dịch JIT đóng vai trò quan trọng trong tất cả các trình duyệt web hiện tại và hoạt động bằng cách sử dụng JavaScript và biên dịch trước nó thành mã máy. mà nếu trình duyệt cần mã này, nó sẽ được tăng tốc, nếu không cần, mã sẽ bị xóa.
Điều đó nói rằng, các nhà cung cấp trình duyệt đồng ý rằng hỗ trợ trình biên dịch JIT trong V8 rất phức tạp vì rất ít người hiểu về nó và nó có tỷ lệ sai sót thấp.
Dựa trên dữ liệu CVE được thu thập từ năm 2019, khoảng 45% lỗ hổng được tìm thấy trong JavaScript engine và WebAssembly V8 có liên quan đến trình biên dịch JIT hoặc hơn một nửa trong số tất cả các lỗ hổng trong Chrome.
“Các trang web không yêu cầu JavaScript, những gì thực sự cần nó là các ứng dụng web trang đơn với các mẫu chống như cuộn vô hạn. Đổi lại, bạn nhận được hai thứ, một web siêu nhanh và một trình duyệt web an toàn hơn. Ví dụ, Amazon hỗ trợ rất tốt việc sử dụng mà không cần JavaScript. Một thử nghiệm khác là Stackoverflow, những thứ như xem trước và đánh dấu không hoạt động. Phần đánh dấu có thể được thêm bằng mã phía máy chủ, nhưng nó sẽ tốn thời gian của CPU và nó không phải là thời gian của CPU của bạn. Đó là thời gian CPU của bạn? »Chúng tôi đọc trong các bình luận.
Đó là lý do tại sao được khuyến khích bởi những kết quả này, nhóm Edge hiện đang làm việc trong những gì nhóm thực tế ảo gọi "Chế độ bảo mật Super Duper", cấu hình Edge trong đó bạn tắt trình biên dịch JIT và bật ba tính năng bảo mật khác, bao gồm công nghệ CET (ControlFlow-Enforcement Technology) của Intel và hệ thống Windows ACG (Arbitrary Code Guard) - hai tính năng thường xung đột với việc triển khai JIT V8 .
Ông viết: “Bằng cách vô hiệu hóa trình biên dịch JIT, chúng tôi có thể kích hoạt các biện pháp giảm thiểu và làm cho việc khai thác các lỗi bảo mật trong bất kỳ thành phần nào của quá trình kết xuất trở nên khó khăn hơn. Việc giảm bề mặt tấn công này giết chết một nửa số lỗi mà chúng ta thấy trong các lần khai thác, với mỗi lỗi còn lại sẽ trở nên khó khai thác hơn. Nói cách khác, chúng tôi đang giảm chi phí cho người dùng, nhưng lại tăng chi phí cho những kẻ tấn công ".
Tuy nhiên, Thử nghiệm của Microsoft nhận thấy rằng các phiên bản Edge không có trình biên dịch JIT, họ đã giảm 16,9% thời gian tải của trang và giảm 2,3% mức sử dụng bộ nhớ. Nhưng thử nghiệm này chỉ mang tính chất dự kiến và Chế độ bảo mật Super Duper (SDSM) sẽ không sớm có trong phiên bản chính thức của Microsoft Edge.
Tuy nhiên, người dùng Microsoft Edge trước khi phát hành (bao gồm Beta, Dev và Canary) có thể bật SDSM at edge: // flags / # edge-enable-super-duper-secure-mode và bật tính năng mới.
Tin tức được đưa ra ngay sau khi Microsoft Edge tiết lộ một loạt các tùy chọn mới. Các tùy chọn cá nhân hóa cho người dùng, bao gồm khả năng thay đổi mục nhập mặc định liên quan đến quyền tự động phát phương tiện trong trình duyệt, cũng như khả năng "tắt" cảnh báo trạng thái mật khẩu cho một trang web cụ thể. Tất nhiên, trong cộng đồng, chúng tôi đánh giá cao nỗ lực của Microsoft trong việc giảm khả năng tấn công đối với người dùng cuối, những người trước đây không yêu cầu tất cả JavaScript được gửi trên các trang web ngày nay.
Cuối cùng nếu bạn muốn biết thêm Về, Bạn có thể kiểm tra thông tin chi tiết trong liên kết sau.