Мицрософт Едге је сада безбеднији захваљујући Супер-Дупер безбедном режиму

На званичном блогу, тим за истраживање рањивости Мицрософт претраживача детаљно описује нову заставицу за Мицрософт Едге под називом „Супер-дупер безбедни режим.“ Намерава да побољша безбедност Едге-а тако што ће онемогућити ЈИТ (Јуст-ин-Тиме) компилацију у В8 ЈаваСцрипт енгине. Мицрософт каже да су грешке у ЈаваСцрипт-у у модерним претраживачима најчешћи вектор за нападаче. Према ЦВЕ подацима из 2019. године, отприлике 45% напада на В8 односи се на ЈИТ. Онемогућавање те компоненте чини Мицрософт Едге сигурнијим и тежим за разбијање. Такође, „Супер-Дупер Сецуре Моде“ укључује додатне мере безбедности и ублажавања.

ЈИТ (такође познат као „спекулативна оптимизација“) је представљен 2008. као алат за перформансе за убрзавање ЈаваСцрипт сценарија. То чини искуство прегледавања бржим и бржим тако што унапред компајлира ЈаваСцрипт код пре него што прегледачу затреба. Нажалост, тај сложени механизам нуди побољшања перформанси уз сигурносну цену. Мицрософт тврди да је могуће поправити половину грешака у В8 мотору тако што ће онемогућити ЈИТ. Такође, према Мозили, више од половине свих постојећих Цхроме експлоатација злоупотребљава ЈИТ грешке. Пошто већина корисника прво размишља о перформансама и често игнорише безбедност, програмери су спремни да ризикују како би прегледачи учинили бржим.

Тим за истраживање рањивости Мицрософт претраживача спровео је серију тестова како би проверио колики пад перформанси бележи Едге претраживач са онемогућеним ЈИТ-ом. Ти тестови укључују пробне тестове напајања, покретања, меморије и учитавања странице. Пошто је ЈИТ алатка за побољшање перформанси, постоје неке регресије. Такође, ЈаваСцрипт бенцхмаркови, као што је Спеедометер 2.0, показали су значајан пад резултата до 58%. Упркос томе, Мицрософт каже да корисници не примећују смањење перформанси јер то мерило „само говори део веће приче.“ У ствари, према истраживању, корисници ретко примећују разлику у свакодневном животу користити.

Мицрософт не жели одмах да онемогући ЈИТ у Едге претраживачу. Компанија тек треба да одлучи да ли побољшана безбедност вреди неких падова у перформансама, тако да ће истраживачки тим наставити да процењује факторе који утичу на перформансе и сценарије употребе.

Омогућите Супер-Дупер Сецуре Моде у Едге-у

Едге Бета, Дев и Цанари сада нуде ознаку Супер-Дупер Сецуре Моде у едге://флагс одељак. Тестирате како онемогућавање ЈИТ-а утиче на ваше искуство прегледања тако што ћете отићи на едге://флагс/едге-енабле-супер-дупер-сецурити-моде и омогућавање Супер-Дупер безбедног режима.

За сада, то је само експеримент са чудним именом које Мицрософт обећава да ће променити ако дође до јавног објављивања. Супер-Дупер Сецуре Моде у Едге-у је подложан променама и можете помоћи Мицрософт-у да процени ефикасност тако што ћете га тестирати на једном од канала за преглед.

Сазнајте више о Супер-Дупер безбедном режиму у Мицрософт Едге-у у а блог пост на званичном блогу за истраживање рањивости Мицрософт претраживача.