O Microsoft Edge agora é mais seguro graças ao Modo Super-Duper Secure

No blog oficial, a equipe de pesquisa de vulnerabilidade do navegador da Microsoft detalha um novo sinalizador para o Microsoft Edge chamado "Modo Super-Duper Secure." Pretende melhorar a segurança do Edge desativando a compilação JIT (Just-in-Time) no V8 Mecanismo de JavaScript. A Microsoft diz que os bugs no JavaScript dentro dos navegadores modernos são o vetor mais comum para os invasores. De acordo com dados da CVE de 2019, aproximadamente 45% dos ataques ao V8 estão relacionados ao JIT. Desativar esse componente torna o Microsoft Edge mais seguro e mais difícil de quebrar. Além disso, o "Modo Seguro Super-Duper" inclui medidas de segurança adicionais e atenuações.

O JIT (também conhecido como "otimização especulativa") foi introduzido em 2008 como uma ferramenta de desempenho para acelerar cenários JavaScript. Ele torna a experiência de navegação mais ágil e rápida ao pré-compilar o código JavaScript antes que um navegador precise dele. Infelizmente, esse mecanismo complexo oferece melhorias de desempenho com um custo de segurança. A Microsoft afirma que é possível corrigir metade dos bugs no motor V8 desabilitando o JIT. Além disso, de acordo com a Mozilla, mais da metade de todos os exploits existentes do Chrome abusam de bugs JIT. Como a maioria dos usuários pensa primeiro no desempenho e frequentemente ignora a segurança, os desenvolvedores estão dispostos a correr riscos para tornar os navegadores mais ágeis.

A equipe de pesquisa de vulnerabilidade do navegador da Microsoft conduziu uma série de testes para verificar o quão grande é a queda de desempenho do navegador Edge com o JIT desabilitado. Esses testes incluem testes de energia, inicialização, memória e carregamento de página. Como o JIT é uma ferramenta de melhoria de desempenho, existem algumas regressões. Além disso, benchmarks de JavaScript, como Velocímetro 2.0, mostraram resultados significativos com declínio de até 58%. Apesar disso, a Microsoft diz que os usuários não notam queda no desempenho porque esse benchmark "diz apenas parte de uma história maior. "Na verdade, de acordo com a pesquisa, os usuários raramente notam uma diferença em seu dia a dia usar.

A Microsoft não deseja desabilitar o JIT no navegador Edge imediatamente. A empresa ainda não decidiu se a segurança aprimorada compensa algumas quedas de desempenho, então a equipe de pesquisa continuará avaliando os fatores que afetam o desempenho e os cenários de casos de uso.

Ative o modo Super-Duper Secure no Edge

Edge Beta, Dev e Canary agora oferecem o sinalizador Super-Duper Secure Mode no edge: // flags seção. Você testa como a desativação do JIT afeta sua experiência de navegação navegando para edge: // flags / edge-enable-super-duper-security-mode e habilitando o modo Super-Duper Secure.

A partir de agora, é apenas um experimento com um nome peculiar que a Microsoft promete mudar se for lançado ao público. O modo Super-Duper Secure no Edge está sujeito a alterações e você pode ajudar a Microsoft a avaliar a eficiência testando-o em um dos canais de visualização.

Saiba mais sobre o modo Super-Duper Secure no Microsoft Edge em um postagem do blog no blog oficial de pesquisa de vulnerabilidade do navegador da Microsoft.