Microsoft Edge כעת בטוח יותר הודות למצב Super-Duper Secure Mode
בבלוג הרשמי, צוות המחקר של Microsoft Browser Vulnerability Research מפרט דגל חדש עבור Microsoft Edge בשם "מצב מאובטח סופר דופר." היא מתכוונת לשפר את האבטחה של Edge על ידי השבתת קומפילציה של JIT (Just-in-Time) ב-V8 מנוע JavaScript. מיקרוסופט טוענת כי באגים ב-JavaScript בדפדפנים מודרניים הם הווקטור הנפוץ ביותר לתוקפים. על פי נתוני CVE משנת 2019, כ-45% מההתקפות על V8 קשורות ל-JIT. השבתת הרכיב הזה הופכת את Microsoft Edge לאבטחה יותר וקשה יותר לפיצוח. כמו כן, "Super-Duper Secure Mode" כולל אמצעי אבטחה נוספים והפחתות.
פרסומת
JIT (הידוע גם בשם "אופטימיזציה ספקולטיבית") הוצג בשנת 2008 ככלי ביצועים להאצת תרחישי JavaScript. זה הופך את חוויית הגלישה לנעימה ומהירה יותר על ידי קומפילציה מראש של קוד JavaScript לפני שדפדפן צריך את זה. לרוע המזל, המנגנון המורכב הזה מציע שיפורי ביצועים במחיר אבטחה. מיקרוסופט טוענת שאפשר לתקן מחצית מהבאגים במנוע ה-V8 על ידי השבתת JIT. כמו כן, לפי מוזילה, יותר ממחצית מכל ניצול Chrome הקיים עושה שימוש לרעה בבאגי JIT. מכיוון שרוב המשתמשים חושבים תחילה על ביצועים ולעיתים קרובות מתעלמים מאבטחה, מפתחים מוכנים לקחת סיכונים כדי להפוך את הדפדפנים לפשוטים יותר.
צוות מחקר פגיעות הדפדפן של מיקרוסופט ערך סדרת בדיקות כדי לבדוק כמה צניחה בביצועים לוקח דפדפן Edge עם JIT מושבת. בדיקות אלו כוללות נסיונות כוח, הפעלה, זיכרון וטעינת עמודים. מכיוון ש-JIT הוא כלי לשיפור ביצועים, יש כמה רגרסיות. כמו כן, מדדי JavaScript, כגון Speedometer 2.0, הראו ירידה משמעותית בתוצאות של עד 58%. למרות זאת, מיקרוסופט טוענת שהמשתמשים לא מבחינים בירידה בביצועים מכיוון שהמדד הזה "מספר רק חלק מסיפור גדול יותר." למעשה, לפי המחקר, משתמשים רק לעתים רחוקות מבחינים בהבדל ביומיום שלהם להשתמש.
מיקרוסופט לא רוצה להשבית את JIT בדפדפן Edge מיד. החברה עדיין לא החליטה אם אבטחה משופרת שווה כמה נפילות בביצועים, ולכן צוות המחקר ימשיך להעריך גורמים המשפיעים על ביצועים ותרחישי שימוש.
אפשר Super-Duper Secure Mode ב-Edge
Edge Beta, Dev ו-Canary מציעים כעת את דגל Super-Duper Secure Mode ב- edge://flags
סָעִיף. אתה בודק כיצד השבתת JIT משפיעה על חווית הגלישה שלך על ידי ניווט אל edge://flags/edge-enable-super-duper-security-mode
והפעלת Super-Duper Secure Mode.
נכון לעכשיו, זה רק ניסוי עם שם מוזר שמיקרוסופט מבטיחה לשנות אם היא תגיע לפרסום הציבורי. Super-Duper Secure Mode ב-Edge נתון לשינויים, ואתה יכול לעזור למיקרוסופט להעריך את היעילות על ידי בדיקתו באחד מערוצי התצוגה המקדימה.
למד עוד על Super-Duper Secure Mode ב-Microsoft Edge ב- פוסט בבלוג בבלוג הרשמי של Microsoft Browser Vulnerability Research.