Microsoft Edge вече е по-безопасен благодарение на Super-Duper Secure Mode

В официалния блог екипът за изследване на уязвимостта на браузъра на Microsoft дава подробности за нов флаг за Microsoft Edge, наречен „Супер-дупер защитен режим“. Той възнамерява да подобри сигурността на Edge, като деактивира JIT (Just-in-Time) компилацията във V8 JavaScript двигател. Microsoft казва, че грешките в JavaScript в съвременните браузъри са най-често срещаният вектор за нападателите. Според данните на CVE от 2019 г., приблизително 45% от атаките срещу V8 са свързани с JIT. Деактивирането на този компонент прави Microsoft Edge по-сигурен и по-труден за разбиване. Също така, "Super-Duper Secure Mode" включва допълнителни мерки за сигурност и смекчаване.

JIT (известен още като "спекулативна оптимизация") беше въведен през 2008 г. като инструмент за производителност за ускоряване на сценарии на JavaScript. Това прави изживяването при сърфиране по-бързо и по-бързо, като предварително компилира JavaScript код, преди браузърът да се нуждае от него. За съжаление, този сложен механизъм предлага подобрения в производителността на цена за сигурност. Microsoft твърди, че е възможно да се поправят половината от грешките в V8 двигателя чрез деактивиране на JIT. Освен това, според Mozilla, повече от половината от всички съществуващи експлоати на Chrome злоупотребяват с JIT грешки. Тъй като повечето потребители първо мислят за производителността и често пренебрегват сигурността, разработчиците са готови да поемат рискове, за да направят браузърите по-бързи.

Екипът за изследване на уязвимостта на браузъра на Microsoft проведе серия от тестове, за да провери колко голям спад в производителността има браузърът Edge с деактивиран JIT. Тези тестове включват тестове за захранване, стартиране, памет и зареждане на страници. Тъй като JIT е инструмент за подобряване на производителността, има някои регресии. Освен това тестовете на JavaScript, като Speedometer 2.0, показаха значителен спад на резултатите до 58%. Въпреки това Microsoft казва, че потребителите не забелязват намаляване на производителността, тъй като този показател „разказва само част от по-голяма история." Всъщност, според изследването, потребителите рядко забелязват разлика в ежедневието си използване.

Microsoft не иска да деактивира JIT в браузъра Edge веднага. Компанията тепърва ще реши дали подобрената сигурност си струва някои спадове в производителността, така че изследователският екип ще продължи да оценява факторите, които влияят на производителността и сценариите на употреба.

Активирайте Super-Duper Secure Mode в Edge

Edge Beta, Dev и Canary вече предлагат флага на Super-Duper Secure Mode в edge://flags раздел. Тествате как деактивирането на JIT влияе на вашето сърфиране, като отидете до edge://flags/edge-enable-super-duper-security-mode и активиране на Super-Duper Secure Mode.

Засега това е просто експеримент с странно име, което Microsoft обещава да промени, ако стигне до публичната версия. Super-Duper Secure Mode в Edge подлежи на промяна и можете да помогнете на Microsoft да оцени ефективността, като го тествате в един от каналите за предварителен преглед.

Научете повече за Super-Duper Secure Mode в Microsoft Edge в a блог пост в официалния блог за изследване на уязвимостта на браузъра на Microsoft.