Microsoft Edge sada je sigurniji zahvaljujući Super-Duper Secure Modeu
Na službenom blogu, tim za istraživanje ranjivosti preglednika Microsoft Browser detaljno opisuje novu zastavu za Microsoft Edge pod nazivom "Super-Duper Sigurni način rada." Namjerava poboljšati Edgeovu sigurnost onemogućavanjem JIT (Just-in-Time) kompilacije u V8 JavaScript motor. Microsoft kaže da su greške u JavaScriptu unutar modernih preglednika najčešći vektor za napadače. Prema CVE podacima iz 2019., otprilike 45% napada na V8 odnosi se na JIT. Onemogućavanje te komponente čini Microsoft Edge sigurnijim i težim za razbijanje. Također, "Super-Duper Secure Mode" uključuje dodatne sigurnosne mjere i ublažavanja.
JIT (također poznat kao "spekulativna optimizacija") predstavljen je 2008. kao alat za performanse za ubrzavanje JavaScript scenarija. On čini iskustvo pregledavanja bržim i bržim prevođenjem JavaScript koda prije nego što ga preglednik zatreba. Nažalost, taj složeni mehanizam nudi poboljšanja performansi uz sigurnosnu cijenu. Microsoft tvrdi da je moguće popraviti polovicu bugova u V8 motoru onemogućavanjem JIT-a. Također, prema Mozilli, više od polovice svih postojećih Chromeovih eksploatacija zloupotrebljava JIT bugove. Budući da većina korisnika prvo misli na performanse i često zanemaruje sigurnost, programeri su spremni riskirati kako bi preglednike učinili bržim.
Microsoftov tim za istraživanje ranjivosti preglednika proveo je niz testova kako bi provjerio koliki je pad performansi preglednik Edge s onemogućenim JIT-om. Ti testovi uključuju pokuse napajanja, pokretanja, memorije i učitavanja stranice. Budući da je JIT alat za poboljšanje performansi, postoje neke regresije. Također, JavaScript mjerila, kao što je Speedometer 2.0, pokazala su značajan pad rezultata do 58%. Unatoč tome, Microsoft kaže da korisnici ne primjećuju smanjenje performansi jer to mjerilo "samo govori dio veće priče." Zapravo, prema istraživanju, korisnici rijetko primjećuju razliku u svakodnevnom životu koristiti.
Microsoft ne želi odmah onemogućiti JIT u pregledniku Edge. Tvrtka tek treba odlučiti je li poboljšana sigurnost vrijedna nekih padova u performansama, pa će istraživački tim nastaviti procjenjivati čimbenike koji utječu na performanse i scenarije korištenja.
Omogućite Super-Duper Secure Mode u Edgeu
Edge Beta, Dev i Canary sada nude oznaku Super-Duper Secure Mode u rub // zastavice odjeljak. Testirate kako onemogućavanje JIT-a utječe na vaše iskustvo pregledavanja tako što ćete otići na edge://flags/edge-enable-super-duper-security-mode i omogućavanje Super-Duper Secure Mode.
Za sada, to je samo eksperiment s čudnim imenom koje Microsoft obećava promijeniti ako dođe do javne objave. Super-Duper Secure Mode u Edgeu podložan je promjenama, a možete pomoći Microsoftu u procjeni učinkovitosti testiranjem na jednom od kanala za pregled.
Saznajte više o Super-Duper sigurnom načinu rada u programu Microsoft Edge u a blog post na službenom blogu za istraživanje ranjivosti preglednika Microsoft Browser.
