Microsoft Edge je zdaj varnejši zahvaljujoč Super-Duper Secure Modu
V uradnem blogu skupina za raziskovanje ranljivosti brskalnika Microsoft podrobno opisuje novo zastavo za Microsoft Edge, imenovano "Super-Duper varen način." Namen je izboljšati varnost Edge z onemogočanjem JIT (Just-in-Time) kompilacije v V8 JavaScript motor. Microsoft pravi, da so napake v JavaScriptu v sodobnih brskalnikih najpogostejši vektor za napadalce. Po podatkih CVE iz leta 2019 se približno 45 % napadov na V8 nanaša na JIT. Če onemogočite to komponento, postane Microsoft Edge bolj varen in težje razbit. Tudi "Super-Duper Secure Mode" vključuje dodatne varnostne ukrepe in ublažitve.
JIT (znan tudi kot "spekulativna optimizacija") je bil predstavljen leta 2008 kot orodje za zmogljivost za pospešitev scenarijev JavaScript. S predhodno prevajanjem kode JavaScript, preden jo brskalnik potrebuje, je brskanje hitrejše in hitrejše. Na žalost ta zapleten mehanizem ponuja izboljšave zmogljivosti za ceno varnosti. Microsoft trdi, da je možno popraviti polovico napak v motorju V8 z onemogočanjem JIT. Prav tako po mnenju Mozile več kot polovica vseh obstoječih Chroma izkorišča napake JIT. Ker večina uporabnikov najprej pomisli na zmogljivost in pogosto ignorira varnost, so razvijalci pripravljeni tvegati, da bi brskalniki naredili hitrejši.
Skupina za raziskovanje ranljivosti brskalnika Microsoft je izvedla vrsto testov, da bi preverila, kako velik padec zmogljivosti doseže brskalnik Edge z onemogočenim JIT. Ti testi vključujejo preskuse napajanja, zagona, pomnilnika in nalaganja strani. Ker je JIT orodje za izboljšanje učinkovitosti, obstaja nekaj regresij. Tudi merila uspešnosti JavaScript, kot je Speedometer 2.0, so pokazala znaten padec rezultatov do 58 %. Kljub temu Microsoft pravi, da uporabniki ne opazijo zmanjšanja zmogljivosti, ker to merilo uspešnosti "pove samo del večje zgodbe." Pravzaprav, glede na raziskavo, uporabniki le redko opazijo razliko v svojem dnevu uporaba.
Microsoft ne želi takoj onemogočiti JIT v brskalniku Edge. Podjetje se še ni odločilo, ali je izboljšana varnost vredna padca zmogljivosti, zato bo raziskovalna skupina še naprej ocenjevala dejavnike, ki vplivajo na zmogljivost in scenarije uporabe.
Omogočite Super-Duper Secure Mode v Edge
Edge Beta, Dev in Canary zdaj ponujajo zastavico Super-Duper Secure Mode v rob: // zastave oddelek. Preizkusite, kako onemogočanje JIT vpliva na vašo izkušnjo brskanja, tako da se pomaknete na edge://flags/edge-enable-super-duper-security-mode in omogočanje Super-Duper Secure Mode.
Zaenkrat je to le poskus z nenavadnim imenom, ki ga Microsoft obljublja, da ga bo spremenil, če bo objavljeno. Super-Duper Secure Mode v Edge se lahko spremeni in Microsoftu lahko pomagate oceniti učinkovitost tako, da ga preizkusite v enem od kanalov za predogled.
Več o varnem načinu Super-Duper v programu Microsoft Edge v a blog objava na uradnem spletnem dnevniku Microsoft Browser Vulnerability Research.
