Microsoft’s Edge Vulnerability El equipo está experimentando con un nuevo” Super Duper Secure Mode “que va en contra del navegador estándar prácticas para aumentar significativamente la seguridad web. Y aunque este nuevo”Modo seguro”puede parecer una función para los departamentos de TI demasiado preocupados, algún día podría convertirse en la configuración predeterminada para todos los usuarios de Edge. Entonces, ¿cómo funciona?
Bueno, el software detrás del modo seguro de Super Duper es un poco complicado (incluso para los desarrolladores web), pero el concepto general es bastante fácil de comprender; El compilador JIT que mejora la velocidad del motor V8 JavaScript es una pesadilla de seguridad y debe desactivarse.
El motor V8 JavaScript ha sido durante mucho tiempo un objetivo favorito para los piratas informáticos, ya que tiene muchos errores, es fácil de explotar y proporciona un maravilloso punto de entrada a un sistema operativo. Introducido en 2008, el compilador JIT (o Just-In-Time) aumenta el rendimiento de JavaScript a costa de la seguridad, hasta el punto de que el 45% de las vulnerabilidades V8 identificadas están relacionadas con JIT.
No solo eso, pero el compilador JIT evita que los desarrolladores de navegadores habiliten potentes protocolos de seguridad como Tecnología Controlflow-Enforcement (CET) y Microsoft Arbitrary Code Guard (ACG). Los beneficios de deshabilitar JIT son impresionantes; según el equipo de vulnerabilidad de Edge, hacerlo hace que todas las vulnerabilidades del navegador sean más difíciles de explotar para los piratas informáticos.
Esta reducción en la superficie de ataque mata la mitad de los errores que vemos en exploits y cada error restante se vuelve más difícil de explotar. Para decirlo de otra manera, reducimos los costos para los usuarios pero aumentamos los costos para los atacantes.
Pero hay una razón por la que este esquema va en contra de la práctica común. La desactivación de JIT reduce el rendimiento del navegador, especialmente en las páginas web que dependen en gran medida de JavaScript, como YouTube. Aunque el Edge Vulnerability Team informa que”los usuarios con JIT deshabilitado rara vez notan una diferencia en su navegación diaria”, ciertamente existe una diferencia y causaría indignación entre muchos.
Las pruebas del Edge Vulnerability Team confirman que”Super Duper Secure Mode ”a menudo tiene un impacto negativo en la velocidad de navegación, especialmente en los tiempos de carga de la página. Pero para ser justos, una regresión promedio del 17% en los tiempos de carga no es tan mala. Y, en algunos casos, la desactivación de JIT en realidad tuvo un impacto positivo en la memoria y el uso de energía.
El”Modo Super Duper Secure”de Microsoft claramente necesita superar algunos obstáculos técnicos, pero el equipo de Edge probablemente esté a la altura de la tarea. Con el tiempo, el”Modo seguro súper duper”podría convertirse en el predeterminado para todos los usuarios, ya que sus beneficios de seguridad son demasiado difíciles de ignorar. Sin mencionar que podría reducir la frecuencia de las actualizaciones de seguridad, que son molestas tanto para las personas como para las empresas.
Pero el”Modo seguro súper duper”es solo una función experimental, por ahora. Aquellos que quieran probarlo deben descargar la última versión preliminar de Microsoft Edge (Beta, Dev o Canary) y escribir edge://flags/# edge-enable-super-duper-secure-mode en su barra de direcciones.
Fuente: Microsoft a través de TechRadar
