Microsoft Edge тепер безпечніший завдяки Super-Duper Secure Mode
У офіційному блозі команда дослідження вразливості браузера Microsoft детально описує новий прапор для Microsoft Edge «Супер-пупер безпечний режим». Він має намір покращити безпеку Edge, відключивши компіляцію JIT (Just-in-Time) у V8. Движок JavaScript. Microsoft каже, що помилки в JavaScript у сучасних браузерах є найпоширенішим вектором для зловмисників. Згідно з даними CVE за 2019 рік, приблизно 45% атак на V8 стосуються JIT. Вимкнення цього компонента робить Microsoft Edge більш безпечним і важчим для зламу. Крім того, «Супер-дупер безпечний режим» включає додаткові заходи безпеки та пом’якшення.
JIT (також відомий як «спекулятивна оптимізація») був представлений у 2008 році як інструмент продуктивності для прискорення сценаріїв JavaScript. Це робить веб-перегляд швидшим і швидшим завдяки попередньому компіляції коду JavaScript, перш ніж він знадобиться браузеру. На жаль, цей складний механізм забезпечує підвищення продуктивності за ціною безпеки. Microsoft стверджує, що можна виправити половину помилок у двигуні V8, відключивши JIT. Крім того, за даними Mozilla, більше половини всіх існуючих операцій Chrome зловживають помилками JIT. Оскільки більшість користувачів в першу чергу думають про продуктивність і часто ігнорують безпеку, розробники готові піти на ризик, щоб зробити браузери швидшими.
Команда Microsoft Browser Vulnerability Research провела серію тестів, щоб перевірити, наскільки сильно знижується продуктивність браузера Edge з відключеним JIT. Ці тести включають випробування живлення, запуску, пам’яті та завантаження сторінки. Оскільки JIT є інструментом для підвищення продуктивності, є деякі регресії. Крім того, тести JavaScript, такі як Speedometer 2.0, показали значне зниження результатів до 58%. Незважаючи на це, Microsoft стверджує, що користувачі не помічають зниження продуктивності, оскільки цей контрольний тест «повідає лише частина більшої історії." Насправді, згідно з дослідженням, користувачі рідко помічають різницю у своєму щоденному житті використовувати.
Microsoft не хоче відразу вимикати JIT у браузері Edge. Компанія ще не вирішила, чи варто покращення безпеки деяких знижень продуктивності, тому дослідницька група продовжить оцінювати фактори, які впливають на продуктивність і сценарії використання.
Увімкніть Super-Duper Secure Mode в Edge
Edge Beta, Dev і Canary тепер пропонують прапор Super-Duper Secure Mode в edge://flags розділ. Ви можете перевірити, як вимкнення JIT впливає на ваш досвід перегляду, перейшовши до edge://flags/edge-enable-super-duper-security-mode і ввімкнення режиму Super-Duper Secure Mode.
На даний момент це лише експеримент із химерною назвою, яку Microsoft обіцяє змінити, якщо вона потрапить у публічний випуск. Super-Duper Secure Mode в Edge може бути змінений, і ви можете допомогти Microsoft оцінити ефективність, випробувавши його в одному з каналів попереднього перегляду.
Дізнайтеся більше про Super-Duper Secure Mode в Microsoft Edge в a допис у блозі в офіційному блозі Microsoft Browser Vulnerability Research.