Microsoft Edge er nå sikrere takket være Super-Duper Secure Mode
I den offisielle bloggen beskriver Microsoft Browser Vulnerability Research-teamet et nytt flagg for Microsoft Edge kalt "Super-Duper Secure Mode." Den har til hensikt å forbedre Edges sikkerhet ved å deaktivere JIT (Just-in-Time) kompilering i V8 JavaScript-motor. Microsoft sier at feil i JavaScript i moderne nettlesere er den vanligste vektoren for angripere. I følge CVE-data fra 2019 er omtrent 45 % av angrepene på V8 relatert til JIT. Deaktivering av denne komponenten gjør Microsoft Edge sikrere og vanskeligere å knekke. I tillegg inkluderer "Super-Duper Secure Mode" ytterligere sikkerhetstiltak og avbøtende tiltak.
JIT (også kjent som "spekulativ optimalisering") ble introdusert i 2008 som et ytelsesverktøy for å øke hastigheten på JavaScript-scenarier. Det gjør nettleseropplevelsen raskere og raskere ved å forhåndskompilere JavaScript-kode før en nettleser trenger det. Dessverre tilbyr den komplekse mekanismen ytelsesforbedringer til en sikkerhetskostnad. Microsoft hevder det er mulig å fikse halvparten av feilene i V8-motoren ved å deaktivere JIT. Også, ifølge Mozilla, misbruker mer enn halvparten av alle eksisterende Chrome-utnyttelser JIT-feil. Fordi de fleste brukere tenker på ytelse først og ofte ignorerer sikkerhet, er utviklere villige til å ta risiko for å gjøre nettlesere raskere.
Microsoft Browser Vulnerability Research-teamet gjennomførte en rekke tester for å sjekke hvor stor en ytelsesdip Edge-nettleseren tar med deaktivert JIT. Disse testene inkluderer strøm-, oppstart-, minne- og sideinnlastingsforsøk. Fordi JIT er et ytelsesforbedrende verktøy, er det noen regresjoner. JavaScript-referanser, som Speedometer 2.0, viste også en betydelig nedgang på opptil 58 %. Til tross for det sier Microsoft at brukere ikke merker ytelsesreduksjon fordi den referansen "bare forteller del av en større historie." Faktisk, ifølge forskningen, merker brukere sjelden en forskjell i det daglige bruk.
Microsoft ønsker ikke å deaktivere JIT i Edge-nettleseren med en gang. Selskapet har ennå ikke avgjort om forbedret sikkerhet er verdt noen ytelsesfall, så forskerteamet vil fortsette å evaluere faktorer som påvirker ytelsen og bruksscenarier.
Aktiver Super-Duper Secure Mode i Edge
Edge Beta, Dev og Canary tilbyr nå Super-Duper Secure Mode-flagget i edge://flags seksjon. Du tester hvordan deaktivering av JIT påvirker nettleseropplevelsen din ved å navigere til edge://flags/edge-enable-super-duper-security-mode og aktivere Super-Duper Secure Mode.
Per nå er det bare et eksperiment med et merkelig navn som Microsoft lover å endre hvis det kommer til den offentlige utgivelsen. Super-Duper Secure Mode i Edge kan endres, og du kan hjelpe Microsoft med å evaluere effektiviteten ved å teste den i en av forhåndsvisningskanalene.
Lær mer om Super-Duper Secure Mode i Microsoft Edge i en blogg innlegg på den offisielle Microsoft Browser Vulnerability Research-bloggen.
