Super-Duper Secure Modeのおかげで、MicrosoftEdgeはより安全になりました

公式ブログでは、Microsoft Browser Vulnerability Researchチームが、MicrosoftEdgeの新しいフラグと呼ばれる詳細を説明しています。 「スーパーデュパーセキュアモード」。 V8でJIT（Just-in-Time）コンパイルを無効にすることにより、Edgeのセキュリティを向上させることを目的としています。 JavaScriptエンジン。 Microsoftによると、最新のブラウザ内のJavaScriptのバグは、攻撃者にとって最も一般的なベクトルです。 2019年のCVEデータによると、V8への攻撃の約45％がJITに関連しています。 そのコンポーネントを無効にすると、Microsoft Edgeの安全性が高まり、解読が困難になります。 また、「Super-Duper Secure Mode」には、追加のセキュリティ対策と緩和策が含まれています。

JIT（「投機的最適化」とも呼ばれます）は、JavaScriptシナリオを高速化するためのパフォーマンスツールとして2008年に導入されました。 ブラウザが必要とする前にJavaScriptコードをプリコンパイルすることで、ブラウジングエクスペリエンスをより迅速かつ高速にします。 残念ながら、その複雑なメカニズムは、セキュリティコストをかけてパフォーマンスを向上させます。 Microsoftは、JITを無効にすることで、V8エンジンのバグの半分を修正できると主張しています。 また、Mozillaによると、既存のChromeエクスプロイトの半分以上がJITバグを悪用しています。 ほとんどのユーザーはパフォーマンスを最初に考え、セキュリティを無視することが多いため、開発者はリスクを冒してブラウザをより高速にすることをいとわない。

Microsoft Browser Vulnerability Researchチームは、一連のテストを実施して、JITを無効にした場合にEdgeブラウザーのパフォーマンスがどの程度低下するかを確認しました。 これらのテストには、電源、起動、メモリ、およびページの読み込みの試行が含まれます。 JITはパフォーマンスを向上させるツールであるため、いくつかのリグレッションがあります。 また、Speedometer 2.0などのJavaScriptベンチマークでは、最大58％の大幅な結果の低下が見られました。 それにもかかわらず、Microsoftは、そのベンチマークは「 より大きな物語の一部です。」実際、調査によると、ユーザーは毎日の違いに気付くことはめったにありません。 使用する。

Microsoftは、EdgeブラウザーでJITをすぐに無効にすることを望んでいません。 同社は、セキュリティの向上がパフォーマンスの低下に値するかどうかをまだ決定していないため、調査チームはパフォーマンスとユースケースのシナリオに影響を与える要因を引き続き評価します。

EdgeでSuper-DuperSecureModeを有効にする

Edge Beta、Dev、およびCanaryは、Super-Duper SecureModeフラグを提供するようになりました。 エッジ：//フラグ セクション。 JITを無効にすると、次の場所に移動してブラウジングエクスペリエンスにどのように影響するかをテストします。 edge：// flags / edge-enable-super-duper-security-mode スーパーデュパーセキュアモードを有効にします。

今のところ、Microsoftが一般公開された場合に変更することを約束しているのは、風変わりな名前の実験にすぎません。 EdgeのSuper-DuperSecure Modeは変更される可能性があり、プレビューチャネルの1つでテストすることにより、Microsoftが効率を評価するのに役立ちます。

MicrosoftEdgeのSuper-DuperSecureModeの詳細については ブログ投稿 Microsoft Browser VulnerabilityResearchの公式ブログにあります。