Microsoft Edge jest teraz bezpieczniejszy dzięki Super-Duper Secure Mode

Na oficjalnym blogu zespół Microsoft Browser Vulnerability Research szczegółowo opisuje nową flagę dla Microsoft Edge o nazwie „Super-duper bezpieczny tryb”. Zamierza poprawić bezpieczeństwo Edge'a, wyłączając kompilację JIT (Just-in-Time) w V8 Silnik JavaScript. Microsoft twierdzi, że najczęstszym wektorem atakujących są błędy w JavaScript w nowoczesnych przeglądarkach. Według danych CVE z 2019 r. około 45% ataków na V8 dotyczy JIT. Wyłączenie tego składnika sprawia, że ​​Microsoft Edge jest bezpieczniejszy i trudniejszy do złamania. Ponadto „Super-Duper Secure Mode” obejmuje dodatkowe środki bezpieczeństwa i środki łagodzące.

JIT (znany również jako „optymalizacja spekulacyjna”) został wprowadzony w 2008 roku jako narzędzie do przyspieszania scenariuszy JavaScript. Sprawia, że ​​przeglądanie jest szybsze i szybsze dzięki wstępnej kompilacji kodu JavaScript, zanim przeglądarka go potrzebuje. Niestety, ten złożony mechanizm oferuje poprawę wydajności kosztem bezpieczeństwa. Microsoft twierdzi, że można naprawić połowę błędów w silniku V8, wyłączając JIT. Ponadto, według Mozilli, ponad połowa wszystkich istniejących exploitów Chrome wykorzystuje błędy JIT. Ponieważ większość użytkowników najpierw myśli o wydajności i często ignoruje bezpieczeństwo, programiści są skłonni podejmować ryzyko, aby przeglądarki były szybsze.

Zespół Microsoft Browser Vulnerability Research przeprowadził serię testów, aby sprawdzić, jak duży spadek wydajności ma przeglądarka Edge z wyłączonym JIT. Testy te obejmują próby zasilania, uruchamiania, pamięci i ładowania strony. Ponieważ JIT jest narzędziem poprawiającym wydajność, występują pewne regresje. Również benchmarki JavaScript, takie jak Speedometer 2.0, wykazały znaczny spadek wyników, do 58%. Mimo to Microsoft twierdzi, że użytkownicy nie zauważają spadku wydajności, ponieważ ten test „mówi tylko częścią większej historii”. Jak wynika z badań, użytkownicy rzadko zauważają różnicę w swoim codziennym posługiwać się.

Microsoft nie chce od razu wyłączać JIT w przeglądarce Edge. Firma musi jeszcze zdecydować, czy poprawa bezpieczeństwa jest warta pewnych spadków wydajności, więc zespół badawczy będzie kontynuował ocenę czynników wpływających na wydajność i scenariusze przypadków użycia.

Włącz tryb Super-Duper Secure w Edge

Edge Beta, Dev i Canary oferują teraz flagę Super-Duper Secure Mode w krawędź://flagi Sekcja. Testujesz, jak wyłączenie JIT wpływa na twoje wrażenia z przeglądania, przechodząc do edge://flags/edge-enable-super-duper-security-mode i włączenie Super-Duper Secure Mode.

Na razie jest to tylko eksperyment o dziwacznej nazwie, którą Microsoft obiecuje zmienić, jeśli dostanie się do publicznej wersji. Tryb Super-Duper Secure w Edge może ulec zmianie i możesz pomóc firmie Microsoft ocenić wydajność, testując go w jednym z kanałów podglądu.

Dowiedz się więcej o trybie Super-Duper Secure w Microsoft Edge w post na blogu na oficjalnym blogu Microsoft Browser Vulnerability Research.