A Microsoft Edge mostantól biztonságosabb a Super-Duper Secure Mode-nak köszönhetően
A hivatalos blogban a Microsoft Browser Vulnerability Research csapata bemutatja a Microsoft Edge új jelzőjét "Super-Duper Secure Mode." Az Edge biztonságát kívánja javítani azáltal, hogy letiltja a JIT (Just-in-Time) fordítást a V8-ban. JavaScript motor. A Microsoft szerint a modern böngészőkben található JavaScript-hibák a támadók leggyakoribb vektorai. A CVE 2019-es adatai szerint a V8 elleni támadások körülbelül 45%-a a JIT-hez kapcsolódik. Az összetevő letiltása biztonságosabbá és nehezebbé teszi a Microsoft Edge-t. Ezenkívül a „Super-Duper Secure Mode” további biztonsági intézkedéseket és csökkentéseket is tartalmaz.
Hirdetés
A JIT-t (más néven "spekulatív optimalizálás") 2008-ban mutatták be, mint a JavaScript-forgatókönyvek felgyorsítását szolgáló teljesítményeszközt. Gyorsabbá és gyorsabbá teszi a böngészést azáltal, hogy előre lefordítja a JavaScript kódot, mielőtt a böngészőnek szüksége lenne rá. Sajnos ez az összetett mechanizmus teljesítményjavításokat kínál biztonsági költségek mellett. A Microsoft azt állítja, hogy a V8-as motor hibáinak felét ki lehet javítani a JIT letiltásával. Ezenkívül a Mozilla szerint az összes létező Chrome több mint fele kihasználja a JIT hibákat. Mivel a legtöbb felhasználó először a teljesítményre gondol, és gyakran figyelmen kívül hagyja a biztonságot, a fejlesztők hajlandóak kockázatot vállalni, hogy a böngészőket letisztultabbá tegyék.
A Microsoft Browser Vulnerability Research csapata tesztsorozatot végzett annak ellenőrzésére, hogy az Edge böngésző mekkora teljesítménycsökkenést mutat letiltott JIT mellett. Ezek a tesztek magukban foglalják a tápellátási, indítási, memória- és oldalbetöltési próbákat. Mivel a JIT teljesítményjavító eszköz, van néhány regresszió. Ezenkívül a JavaScript-benchmarkok, például a Speedometer 2.0, jelentős, akár 58%-os eredménycsökkenést mutattak. Ennek ellenére a Microsoft azt állítja, hogy a felhasználók nem veszik észre a teljesítmény csökkenését, mert ez a benchmark „csak elmondja egy nagyobb történet része." Valójában a kutatás szerint a felhasználók ritkán vesznek észre különbséget a mindennapjaik során használat.
A Microsoft nem akarja azonnal letiltani a JIT-t az Edge böngészőben. A vállalat még nem döntötte el, hogy a fokozott biztonság megér-e némi teljesítménycsökkenést, ezért a kutatócsoport folytatja a teljesítményt és a használati eseteket befolyásoló tényezők értékelését.
Engedélyezze a Super-Duper Secure módot az Edge-ben
Az Edge Beta, a Dev és a Canary mostantól a Super-Duper Secure Mode zászlót kínálja él: // zászlók
szakasz. A webhelyre navigálva tesztelheti, hogy a JIT letiltása hogyan befolyásolja a böngészési élményt edge://flags/edge-enable-super-duper-security-mode
és a Super-Duper Secure Mode engedélyezése.
Egyelőre ez csak egy kísérlet egy furcsa névvel, amelyet a Microsoft ígérete szerint megváltoztat, ha nyilvános kiadásra kerül. A Super-Duper Secure mód az Edge-ben változhat, és segíthet a Microsoftnak a hatékonyság értékelésében, ha teszteli az egyik előnézeti csatornán.
Tudjon meg többet a Super-Duper Secure módról a Microsoft Edge-ben a blog bejegyzés a hivatalos Microsoft Browser Vulnerability Research blogon.