Microsoft Edge 漏洞研究團隊日前宣布, 嘗試新功能 在瀏覽器中。 本實驗 涉及故意禁用 JIT 編譯器 JavaScript 和 WebAssembly,從而 您將獲得重大優化和性能改進 在公司稱為 Edge Super Duper 安全模式的情況下啟用更高級的安全更新。
該公司解釋說 這個想法是為了減少漏洞利用的攻擊面 基於 JavaScript 缺陷的現代系統會大大增加攻擊者的操作成本。
微軟提到,Chromium 又基於 JavaScript V8 引擎,一個開源引擎,帶有一個 JIT 編譯器,它在所有當前的 Web 瀏覽器中起著至關重要的作用,它通過將 JavaScript 提前編譯成機器碼來工作。用它,如果瀏覽器需要這個代碼,它會被加速,如果它不需要它,代碼被刪除。
話雖如此,瀏覽器供應商都認為 V8 中的 JIT 編譯器支持很複雜,因為很少有人理解它,而且它的容錯率很低。
根據 2019 年以來收集的 CVE 數據,在 JavaScript 引擎和 WebAssembly V45 中發現的漏洞中約有 8% 與 JIT 編譯器有關,佔 Chrome 中所有漏洞的一半以上。
“網站不需要 JavaScript,真正需要它的是具有反模板(如無限滾動)的單頁 Web 應用程序。 你會得到兩件事作為回報,一個超級快速的網絡和一個更安全的網絡瀏覽器。 例如,亞馬遜很好地支持不使用 JavaScript 的使用。 另一個實驗是 Stackoverflow,預覽和突出顯示之類的東西不起作用。 高亮可以用服務器端代碼添加,但是會消耗CPU時間,而不是你的CPU時間。 是你的CPU時間嗎? »我們在評論中閱讀。
這就是為什麼受到這些結果的鼓舞, Edge 團隊目前正在工作 虛擬現實團隊稱之為 “超級騙子安全模式”, 在 Edge 配置中禁用 JIT 編譯器並啟用其他三個安全功能,包括英特爾的 CET(控制流執行技術)技術和 Windows ACG(任意代碼保護)系統——這兩個功能通常會與 JIT V8 的實現發生衝突.
“通過禁用 JIT 編譯器,我們可以啟用緩解措施,並使利用渲染過程任何組件中的安全漏洞變得更加困難,”他寫道。 攻擊面的減少消除了我們在漏洞利用中看到的一半漏洞,並且每個剩餘的漏洞都變得更難利用。 換句話說,我們為用戶降低了成本,但增加了攻擊者的成本。”
黃大仙禁運, 微軟測試 發現Edge版本 如果沒有 JIT 編譯器,加載時間減少了 16,9% 的頁面 內存使用量減少 2,3%. 但是這個實驗只是暫定的,Super Duper Secure Mode (SDSM) 不會很快成為 Microsoft Edge 正式版的一部分。
但是,Microsoft Edge 的預發布用戶(包括 Beta、Dev 和 Canary)可以在 edge: // flags / # edge-enable-super-duper-secure-mode 啟用 SDSM 並啟用新功能。
該消息是在 Microsoft Edge 透露了許多新選項後不久發布的。 用戶的個性化選項,包括更改有關在瀏覽器中自動播放媒體權限的默認條目的能力,以及“關閉”特定網站的密碼狀態警報的能力。 當然,在社區中,我們感謝 Microsoft 為減少最終用戶的攻擊面所做的努力,這些最終用戶事先並未請求當今網頁上提供的所有 JavaScript。
終於 如果你有興趣了解更多 關於, 您可以在以下鏈接中查看詳細信息。