Microsoft Edge is nu veiliger dankzij Super-Duper Secure Mode
In de officiële blog beschrijft het Microsoft Browser Vulnerability Research-team een nieuwe vlag voor Microsoft Edge genaamd "Super-Duper veilige modus." Het is van plan de beveiliging van Edge te verbeteren door JIT-compilatie (Just-in-Time) in de V8 uit te schakelen JavaScript-engine. Microsoft zegt dat bugs in JavaScript in moderne browsers de meest voorkomende vector zijn voor aanvallers. Volgens CVE-gegevens uit 2019 heeft ongeveer 45% van de aanvallen op V8 betrekking op JIT. Door dat onderdeel uit te schakelen, wordt Microsoft Edge veiliger en moeilijker te kraken. De "Super-Duper Secure Mode" bevat ook aanvullende beveiligingsmaatregelen en -beperkingen.
JIT (ook bekend als "speculatieve optimalisatie") werd in 2008 geïntroduceerd als een prestatietool om JavaScript-scenario's te versnellen. Het maakt de browse-ervaring vlotter en sneller door JavaScript-code vooraf te compileren voordat een browser deze nodig heeft. Helaas biedt dat complexe mechanisme prestatieverbeteringen tegen beveiligingskosten. Microsoft beweert dat het mogelijk is om de helft van de bugs in de V8-engine op te lossen door JIT uit te schakelen. Volgens Mozilla maakt ook meer dan de helft van alle bestaande Chrome-exploits misbruik van JIT-bugs. Omdat de meeste gebruikers eerst nadenken over prestaties en vaak de beveiliging negeren, zijn ontwikkelaars bereid risico's te nemen om browsers vlotter te maken.
Het Microsoft Browser Vulnerability Research-team heeft een reeks tests uitgevoerd om te controleren hoe groot de prestatiedip is van de Edge-browser met uitgeschakelde JIT. Die tests omvatten tests voor voeding, opstarten, geheugen en het laden van pagina's. Omdat JIT een prestatieverbeterende tool is, zijn er enkele regressies. Ook JavaScript-benchmarks, zoals Speedometer 2.0, lieten een significante daling van de resultaten zien, tot 58%. Desondanks zegt Microsoft dat gebruikers de prestatievermindering niet merken omdat die benchmark "alleen" vertelt onderdeel van een groter verhaal." Volgens het onderzoek merken gebruikers zelfs zelden een verschil in hun dagelijkse gebruik maken van.
Microsoft wil JIT niet meteen in de Edge-browser uitschakelen. Het bedrijf moet nog beslissen of verbeterde beveiliging een prestatiedaling waard is, dus het onderzoeksteam zal doorgaan met het evalueren van factoren die van invloed zijn op de prestaties en gebruiksscenario's.
Super-Duper Veilige modus inschakelen in Edge
Edge Beta, Dev en Canary bieden nu de Super-Duper Secure Mode-vlag in de rand://vlaggen sectie. U test hoe het uitschakelen van JIT uw browse-ervaring beïnvloedt door te navigeren naar: edge://flags/edge-enable-super-duper-security-mode en het inschakelen van de Super-Duper Secure Mode.
Vanaf nu is het slechts een experiment met een eigenzinnige naam die Microsoft belooft te veranderen als deze openbaar wordt. De Super-Duper Secure-modus in Edge is onderhevig aan verandering en u kunt Microsoft helpen de efficiëntie te evalueren door deze te testen in een van de preview-kanalen.
Meer informatie over Super-Duper Secure Mode in Microsoft Edge in een blogpost op het officiële Microsoft Browser Vulnerability Research-blog.