Microsoft Edge è ora più sicuro grazie alla modalità protetta Super-Duper
Nel blog ufficiale, il team Microsoft Browser Vulnerability Research descrive in dettaglio un nuovo flag per Microsoft Edge chiamato "Modalità super sicura." Intende migliorare la sicurezza di Edge disabilitando la compilazione JIT (Just-in-Time) nel V8 motore JavaScript. Microsoft afferma che i bug in JavaScript all'interno dei browser moderni sono il vettore più comune per gli aggressori. Secondo i dati CVE del 2019, circa il 45% degli attacchi a V8 riguarda JIT. La disabilitazione di quel componente rende Microsoft Edge più sicuro e più difficile da decifrare. Inoltre, "Super-Duper Secure Mode" include misure di sicurezza e mitigazioni aggiuntive.
JIT (noto anche come "ottimizzazione speculativa") è stato introdotto nel 2008 come strumento di prestazioni per accelerare gli scenari JavaScript. Rende l'esperienza di navigazione più rapida e veloce precompilando il codice JavaScript prima che un browser ne abbia bisogno. Sfortunatamente, questo meccanismo complesso offre miglioramenti delle prestazioni a un costo di sicurezza. Microsoft afferma che è possibile correggere metà dei bug nel motore V8 disabilitando JIT. Inoltre, secondo Mozilla, più della metà di tutti gli exploit di Chrome esistenti abusa di bug JIT. Poiché la maggior parte degli utenti pensa prima alle prestazioni e spesso ignora la sicurezza, gli sviluppatori sono disposti a correre dei rischi per rendere i browser più veloci.
Il team Microsoft Browser Vulnerability Research ha condotto una serie di test per verificare l'entità del calo delle prestazioni del browser Edge con JIT disabilitato. Questi test includono prove di alimentazione, avvio, memoria e caricamento della pagina. Poiché JIT è uno strumento per il miglioramento delle prestazioni, ci sono alcune regressioni. Inoltre, i benchmark JavaScript, come Speedometer 2.0, hanno mostrato risultati significativi in calo fino al 58%. Nonostante ciò, Microsoft afferma che gli utenti non notano un calo delle prestazioni perché quel benchmark "dice solo parte di una storia più ampia." Infatti, secondo la ricerca, gli utenti notano raramente una differenza nel loro quotidiano utilizzo.
Microsoft non vuole disabilitare immediatamente JIT nel browser Edge. La società deve ancora decidere se il miglioramento della sicurezza valga alcuni cali di prestazioni, quindi il team di ricerca continuerà a valutare i fattori che influenzano le prestazioni e gli scenari dei casi d'uso.
Abilita la modalità Super-Duper Secure in Edge
Edge Beta, Dev e Canary ora offrono il flag Super-Duper Secure Mode nel edge://flags sezione. Testi come la disabilitazione di JIT influisce sulla tua esperienza di navigazione navigando su edge://flags/edge-enable-super-duper-security-mode e abilitando la modalità Super-Duper Secure.
A partire da ora, è solo un esperimento con un nome bizzarro che Microsoft promette di cambiare se arriverà al rilascio pubblico. La modalità Super-Duper Secure in Edge è soggetta a modifiche e puoi aiutare Microsoft a valutare l'efficienza testandola in uno dei canali di anteprima.
Ulteriori informazioni sulla modalità protetta Super-Duper in Microsoft Edge in a post sul blog sul blog ufficiale di Microsoft Browser Vulnerability Research.