Microsoft Edge er nu mere sikker takket være Super-Duper Secure Mode
I den officielle blog beskriver Microsoft Browser Vulnerability Research-teamet et nyt flag for Microsoft Edge kaldet "Super-Duper Secure Mode." Det har til hensigt at forbedre Edges sikkerhed ved at deaktivere JIT (Just-in-Time) kompilering i V8. JavaScript-motor. Microsoft siger, at fejl i JavaScript i moderne browsere er den mest almindelige vektor for angribere. Ifølge CVE-data fra 2019 vedrører cirka 45 % af angrebene på V8 JIT. Deaktivering af denne komponent gør Microsoft Edge mere sikker og sværere at knække. Desuden inkluderer "Super-Duper Secure Mode" yderligere sikkerhedsforanstaltninger og begrænsninger.
Reklame
JIT (også kendt som "spekulativ optimering") blev introduceret i 2008 som et præstationsværktøj til at fremskynde JavaScript-scenarier. Det gør browsingoplevelsen hurtigere og hurtigere ved at prækompilere JavaScript-kode, før en browser har brug for det. Desværre tilbyder den komplekse mekanisme ydeevneforbedringer til en sikkerhedsomkostning. Microsoft hævder, at det er muligt at rette halvdelen af fejlene i V8-motoren ved at deaktivere JIT. Også ifølge Mozilla misbruger mere end halvdelen af alle eksisterende Chrome-udnyttelser JIT-fejl. Fordi de fleste brugere tænker på ydeevne først og ofte ignorerer sikkerheden, er udviklere villige til at tage risici for at gøre browsere hurtigere.
Microsoft Browser Vulnerability Research-teamet gennemførte en række tests for at kontrollere, hvor stor en præstationsdip Edge-browseren tager med deaktiveret JIT. Disse tests inkluderer strøm-, opstarts-, hukommelses- og sideindlæsningsprøver. Fordi JIT er et præstationsforbedrende værktøj, er der nogle regressioner. Også JavaScript-benchmarks, såsom Speedometer 2.0, viste et betydeligt resultatfald på op til 58 %. På trods af det siger Microsoft, at brugerne ikke bemærker et fald i ydeevnen, fordi dette benchmark "kun fortæller del af en større historie." Faktisk bemærker brugerne ifølge undersøgelsen sjældent en forskel i deres daglige brug.
Microsoft ønsker ikke at deaktivere JIT i Edge-browseren med det samme. Virksomheden mangler endnu at beslutte, om forbedret sikkerhed er værd at falde i ydeevnen, så forskerholdet vil fortsætte med at evaluere faktorer, der påvirker ydeevnen og brugsscenarier.
Aktiver Super-Duper Secure Mode i Edge
Edge Beta, Dev og Canary tilbyder nu Super-Duper Secure Mode-flaget i kant://flag
afsnit. Du tester, hvordan deaktivering af JIT påvirker din browseroplevelse ved at navigere til edge://flags/edge-enable-super-duper-security-mode
og aktiverer Super-Duper Secure Mode.
Lige nu er det blot et eksperiment med et finurligt navn, som Microsoft lover at ændre, hvis det kommer til den offentlige udgivelse. Super-Duper Secure Mode i Edge kan ændres, og du kan hjælpe Microsoft med at evaluere effektiviteten ved at teste det i en af forhåndsvisningskanalerne.
Lær mere om Super-Duper Secure Mode i Microsoft Edge i en blogindlæg på den officielle blog om Microsoft Browser Vulnerability Research.