Microsoft Edge je teraz bezpečnejší vďaka režimu Super-Duper Secure
V oficiálnom blogu tím Microsoft Browser Vulnerability Research podrobne popisuje nový príznak pre Microsoft Edge s názvom "Super-Duper Secure Mode." Má v úmysle zlepšiť bezpečnosť Edge vypnutím kompilácie JIT (Just-in-Time) vo V8 JavaScript engine. Microsoft hovorí, že chyby v JavaScripte v moderných prehliadačoch sú najbežnejším vektorom pre útočníkov. Podľa údajov CVE z roku 2019 sa približne 45 % útokov na V8 týka JIT. Vypnutím tohto komponentu bude Microsoft Edge bezpečnejší a bude ťažšie ho prelomiť. „Super-Duper Secure Mode“ tiež zahŕňa dodatočné bezpečnostné opatrenia a zmiernenia.
Reklama
JIT (tiež známy ako „špekulatívna optimalizácia“) bol predstavený v roku 2008 ako výkonový nástroj na urýchlenie scenárov JavaScriptu. Vďaka predkompilácii kódu JavaScript skôr, ako ho prehliadač potrebuje, je prehliadanie rýchlejší a rýchlejší. Bohužiaľ, tento zložitý mechanizmus ponúka vylepšenia výkonu za cenu zabezpečenia. Microsoft tvrdí, že polovicu chýb v motore V8 je možné opraviť vypnutím JIT. Podľa Mozilly tiež viac ako polovica všetkých existujúcich exploitov prehliadača Chrome zneužíva JIT chyby. Pretože väčšina používateľov myslí v prvom rade na výkon a často ignoruje bezpečnosť, vývojári sú ochotní riskovať, aby boli prehliadače šikovnejšie.
Tím Microsoft Browser Vulnerability Research vykonal sériu testov, aby skontroloval, aký veľký pokles výkonu má prehliadač Edge so zakázaným JIT. Tieto testy zahŕňajú testy napájania, spustenia, pamäte a načítania stránky. Pretože JIT je nástroj na zlepšenie výkonu, existujú určité regresie. Tiež benchmarky JavaScriptu, ako napríklad Speedometer 2.0, ukázali výrazný pokles výsledkov až o 58 %. Napriek tomu Microsoft hovorí, že používatelia si nevšimnú zníženie výkonu, pretože tento benchmark „len hovorí súčasťou väčšieho príbehu." V skutočnosti podľa výskumu používatelia len zriedka zaznamenajú rozdiel vo svojom každodennom živote použitie.
Microsoft nechce hneď zakázať JIT v prehliadači Edge. Spoločnosť sa ešte musí rozhodnúť, či vylepšené zabezpečenie stojí za určité poklesy výkonu, takže výskumný tím bude pokračovať v hodnotení faktorov, ktoré ovplyvňujú výkon, a scenárov použitia.
Povoľte režim Super-Duper Secure v Edge
Edge Beta, Dev a Canary teraz ponúkajú vlajku Super-Duper Secure Mode v edge://flags oddiele. Otestujete, ako zakázanie JIT ovplyvní vaše prehliadanie tým, že prejdete na edge://flags/edge-enable-super-duper-security-mode a aktiváciu režimu Super-Duper Secure.
Odteraz je to len experiment s nepredvídateľným názvom, ktorý spoločnosť Microsoft sľubuje zmeniť, ak sa dostane na verejné vydanie. Super-Duper Secure Mode v Edge podlieha zmenám a Microsoftu môžete pomôcť vyhodnotiť efektivitu jeho otestovaním v jednom z testovacích kanálov.
Prečítajte si viac o režime Super-Duper Secure v Microsoft Edge v a príspevok v blogu na oficiálnom blogu Microsoft Browser Vulnerability Research.