Microsoft Edge est désormais plus sûr grâce au mode sécurisé Super-Duper
Dans le blog officiel, l'équipe Microsoft Browser Vulnerability Research détaille un nouveau drapeau pour Microsoft Edge appelé "Mode sécurisé Super-Duper." Il a l'intention d'améliorer la sécurité d'Edge en désactivant la compilation JIT (Just-in-Time) dans le V8 Moteur JavaScript. Microsoft affirme que les bogues dans JavaScript dans les navigateurs modernes sont le vecteur le plus courant pour les attaquants. Selon les données CVE de 2019, environ 45% des attaques sur V8 concernent le JIT. La désactivation de ce composant rend Microsoft Edge plus sécurisé et plus difficile à cracker. En outre, le "Mode sécurisé Super-Duper" comprend des mesures de sécurité et des mesures d'atténuation supplémentaires.
JIT (également connu sous le nom d'« optimisation spéculative ») a été introduit en 2008 en tant qu'outil de performance pour accélérer les scénarios JavaScript. Il rend l'expérience de navigation plus vive et plus rapide en précompilant le code JavaScript avant qu'un navigateur n'en ait besoin. Malheureusement, ce mécanisme complexe offre des améliorations de performances au détriment de la sécurité. Microsoft prétend qu'il est possible de corriger la moitié des bogues du moteur V8 en désactivant JIT. De plus, selon Mozilla, plus de la moitié de tous les exploits Chrome existants abusent des bogues JIT. Parce que la plupart des utilisateurs pensent d'abord aux performances et ignorent souvent la sécurité, les développeurs sont prêts à prendre des risques pour rendre les navigateurs plus rapides.
L'équipe Microsoft Browser Vulnerability Research a mené une série de tests pour vérifier l'ampleur de la baisse des performances du navigateur Edge avec JIT désactivé. Ces tests incluent des essais d'alimentation, de démarrage, de mémoire et de chargement de page. Le JIT étant un outil d'amélioration des performances, il existe des régressions. De plus, les benchmarks JavaScript, tels que Speedometer 2.0, ont montré une baisse significative des résultats jusqu'à 58%. Malgré cela, Microsoft affirme que les utilisateurs ne remarquent pas de baisse des performances car cette référence « indique uniquement partie d'une histoire plus large." En fait, selon la recherche, les utilisateurs remarquent rarement une différence dans leur quotidien utilisation.
Microsoft ne souhaite pas désactiver immédiatement JIT dans le navigateur Edge. L'entreprise n'a pas encore décidé si une sécurité améliorée vaut quelques baisses de performances. L'équipe de recherche continuera donc d'évaluer les facteurs qui affectent les performances et les scénarios d'utilisation.
Activer le mode sécurisé Super-Duper dans Edge
Edge Beta, Dev et Canary proposent désormais le drapeau Super-Duper Secure Mode dans le edge://drapeaux section. Vous testez comment la désactivation de JIT affecte votre expérience de navigation en naviguant vers edge://flags/edge-enable-super-duper-security-mode et activer le mode sécurisé Super-Duper.
Pour l'instant, il ne s'agit que d'une expérience avec un nom original que Microsoft promet de changer s'il est rendu public. Le mode sécurisé Super-Duper dans Edge est susceptible de changer et vous pouvez aider Microsoft à évaluer l'efficacité en le testant dans l'un des canaux de prévisualisation.
En savoir plus sur le mode sécurisé Super-Duper dans Microsoft Edge dans un article de blog sur le blog officiel Microsoft Browser Vulnerability Research.