Microsoftin Edge-haavoittuvuus Tiimi kokeilee uutta” Super Duper Secure Mode “-toimintoa, joka on vakioselainta vastaan käytäntöjä, jotka parantavat merkittävästi verkkoturvaa. Ja vaikka tämä uusi”suojattu tila”saattaa kuulostaa liikaa huolissaan olevien IT-osastojen ominaisuudelta, siitä voi jonain päivänä tulla kaikkien Edgen käyttäjien oletusasetus. Joten miten se toimii?
No, Super Duper Secure Mode-tilaohjelmisto on hieman monimutkainen (jopa web-kehittäjille), mutta kokonaiskonsepti on melko helppo ymmärtää; V8 JavaScript-moottorin nopeutta parantava JIT-kääntäjä on turvallisuuden painajainen, ja se on sammutettava.
V8 JavaScript-moottori on jo pitkään ollut hakkereiden suosikkikohde, koska se on erittäin buginen, helppokäyttöinen ja tarjoaa upean pääsypisteen käyttöjärjestelmään. Vuonna 2008 käyttöön otettu JIT (tai Just-In-Time)-kääntäjä lisää JavaScriptin suorituskykyä turvallisuuden kustannuksella siihen pisteeseen, että 45% tunnistetuista V8-haavoittuvuuksista liittyy JIT: ään.
Paitsi, mutta JIT-kääntäjä estää selaimen kehittäjiä ottamasta käyttöön tehokkaita suojausprotokollia, kuten Intelin Controlflow-Enforcement Technology (CET) ja Microsoftin Mielivaltainen koodisuoja (ACG). JIT: n poistamisen edut ovat hämmästyttäviä-Edgen haavoittuvuustiimin mukaan selaimen haavoittuvuuksien tekeminen hakkereiden on vaikeampaa hyödyntää.
Tämä hyökkäyspinnan väheneminen tappaa puolet näkemistämme virheistä hyödyntää ja jokaista jäljellä olevaa vikaa tulee vaikeammin hyödynnettäväksi. Toisin sanoen alennamme käyttäjien kustannuksia, mutta lisäämme hyökkääjien kustannuksia.
Mutta tämä järjestelmä on yleisen käytännön vastainen. JIT: n poistaminen käytöstä heikentää selaimen suorituskykyä etenkin verkkosivuilla, jotka tukevat voimakkaasti JavaScriptiä, kuten YouTube. Vaikka Edgen haavoittuvuustiimi raportoi, että ”käyttäjät, joilla on JIT-toiminto, eivät harvoin huomaa eroa päivittäisessä selaamisessaan”, ero on varmasti olemassa ja aiheuttaisi suuttumusta monien keskuudessa.
Edgen haavoittuvuustiimin testit vahvistavat, että ”Super Duper Suojattu tila ”vaikuttaa usein negatiivisesti selausnopeuteen, erityisesti sivujen latausaikaan. Mutta ollakseni oikeudenmukainen, 17%: n keskimääräinen regressio latausaikoissa ei ole ollenkaan huono. Joissakin tapauksissa JIT: n poistaminen käytöstä vaikutti itse asiassa myönteisesti muistiin ja virrankulutukseen.
Microsoftin ”Super Duper Secure Mode” on selkeästi voitettava joitain teknisiä esteitä, mutta Edge-tiimi on todennäköisesti tehtävänsä tasalla. Aikanaan”Super Duper Secure Mode”voi olla kaikkien käyttäjien oletusarvo, koska sen tietoturvaetuja on aivan liian vaikea sivuuttaa. Puhumattakaan siitä, että se voi vähentää tietoturvapäivitysten tiheyttä, jotka ovat ärsyttäviä sekä yksilöille että yrityksille.
Mutta”Super Duper Secure Mode”on toistaiseksi vain kokeellinen ominaisuus. Niiden, jotka haluavat testata sitä, on ladattava uusin Microsoft Edgen esikatseluversio (Beta, Dev tai Canary) ja kirjoitettava reuna://flags/#edge-enable-super-duper-secure-mode osoitepalkissaan.
Lähde: Microsoft kautta TechRadar
