Microsoft Edge теперь безопаснее благодаря Super-Duper Secure Mode

В официальном блоге группа исследования уязвимостей браузера Microsoft подробно описывает новый флаг для Microsoft Edge под названием "Супер-безопасный режим". Он намерен улучшить безопасность Edge, отключив JIT (Just-in-Time) компиляцию в V8. Движок JavaScript. Microsoft заявляет, что ошибки в JavaScript в современных браузерах являются наиболее распространенным вектором для злоумышленников. По данным CVE за 2019 год, примерно 45% атак на V8 связаны с JIT. Отключение этого компонента делает Microsoft Edge более безопасным и трудным для взлома. Кроме того, «Super-Duper Secure Mode» включает дополнительные меры безопасности и смягчения последствий.

JIT (также известный как «спекулятивная оптимизация») был представлен в 2008 году как инструмент повышения производительности для ускорения сценариев JavaScript. Это делает просмотр страниц более быстрым и быстрым за счет предварительной компиляции кода JavaScript до того, как он понадобится браузеру. К сожалению, этот сложный механизм обеспечивает повышение производительности за счет снижения безопасности. Microsoft утверждает, что половину ошибок в движке V8 можно исправить, отключив JIT. Кроме того, по данным Mozilla, более половины всех существующих эксплойтов Chrome используют ошибки JIT. Поскольку большинство пользователей думают в первую очередь о производительности и часто игнорируют безопасность, разработчики готовы рисковать, чтобы сделать браузеры более быстрыми.

Команда Microsoft Browser Vulnerability Research провела серию тестов, чтобы проверить, насколько сильно падает производительность браузера Edge с отключенным JIT. Эти тесты включают испытания мощности, запуска, памяти и загрузки страницы. Поскольку JIT - это инструмент для повышения производительности, есть некоторые недостатки. Кроме того, тесты JavaScript, такие как Speedometer 2.0, показали значительное снижение результатов до 58%. Несмотря на это, Microsoft заявляет, что пользователи не замечают снижения производительности, потому что этот тест "говорит только часть большой истории ". Согласно исследованию, пользователи редко замечают разницу в своих ежедневных использовать.

Microsoft не хочет сразу отключать JIT в браузере Edge. Компания еще не решила, стоит ли повышение безопасности некоторого снижения производительности, поэтому исследовательская группа продолжит оценку факторов, влияющих на производительность, и сценариев использования.

Включить режим Super-Duper Secure в Edge

Edge Beta, Dev и Canary теперь предлагают флаг Super-Duper Secure Mode в край: // флаги раздел. Вы проверяете, как отключение JIT влияет на ваш опыт просмотра, перейдя к край: // флаги / край-включить-супер-пупер-режим-безопасности и включение режима Super-Duper Secure.

На данный момент это всего лишь эксперимент с причудливым названием, которое Microsoft обещает изменить, если оно станет общедоступным. Режим Super-Duper Secure в Edge может быть изменен, и вы можете помочь Microsoft оценить эффективность, протестировав его в одном из каналов предварительного просмотра.

Узнайте больше о режиме Super-Duper Secure Mode в Microsoft Edge в Сообщение блога в официальном блоге Microsoft Browser Vulnerability Research.