Microsoft’s Edge Vulnérabilité L’équipe expérimente un nouveau”Mode sécurisé Super Duper“qui va à l’encontre du navigateur standard pratiques pour renforcer considérablement la sécurité Web. Et bien que ce nouveau”mode sécurisé”puisse sembler être une fonctionnalité pour les services informatiques trop préoccupés, il pourrait un jour devenir le paramètre par défaut pour tous les utilisateurs Edge. Alors, comment ça marche ?
Eh bien, le logiciel derrière Super Duper Secure Mode est un peu compliqué (même pour les développeurs Web), mais le concept global est assez facile à comprendre ; le compilateur JIT d’amélioration de la vitesse du moteur JavaScript V8 est un cauchemar en matière de sécurité et doit être désactivé.
Le moteur JavaScript V8 a longtemps été une cible de prédilection pour les pirates, car il est super bogué, facile à exploiter et fournit un merveilleux point d’entrée dans un système d’exploitation. Lancé en 2008, le compilateur JIT (ou Just-In-Time) augmente les performances JavaScript au détriment de la sécurité, au point que 45% des vulnérabilités V8 identifiées sont liées au JIT.
Pas seulement cela, mais le compilateur JIT empêche les développeurs de navigateurs d’activer des protocoles de sécurité puissants comme Controlflow-Enforcement Technology (CET) et Arbitrary Code Guard (ACG). Les avantages de la désactivation de JIT sont étonnants. Selon l’Edge Vulnerability Team, cela rend toutes les vulnérabilités du navigateur plus difficiles à exploiter pour les pirates.
Cette réduction de la surface d’attaque tue la moitié des bogues que nous voyons dans les exploits et chaque bogue restant devient plus difficile à exploiter. Pour le dire autrement, nous réduisons les coûts pour les utilisateurs mais augmentons les coûts pour les attaquants.
Mais il y a une raison pour laquelle ce schéma va à l’encontre de la pratique courante. La désactivation de JIT réduit les performances du navigateur, en particulier sur les pages Web qui dépendent fortement de JavaScript, comme YouTube. Bien que l’Edge Vulnerability Team rapporte que”les utilisateurs avec JIT désactivé remarquent rarement une différence dans leur navigation quotidienne”, une différence existe certainement et provoquerait l’indignation de beaucoup.
Les tests de l’Edge Vulnerability Team confirment que”Super Duper Mode sécurisé”a souvent un impact négatif sur la vitesse de navigation, en particulier les temps de chargement des pages. Mais pour être juste, une régression moyenne de 17% des temps de chargement n’est pas si mal. Et dans certains cas, la désactivation de JIT a eu un impact positif sur la mémoire et l’utilisation de l’énergie.
Le « mode sécurisé Super Duper » de Microsoft doit clairement surmonter certains obstacles techniques, mais l’équipe Edge est probablement à la hauteur de la tâche.. Avec le temps, le «Mode sécurisé Super Duper» pourrait devenir la valeur par défaut pour tous les utilisateurs, car ses avantages en matière de sécurité sont tout simplement trop difficiles à ignorer. Sans oublier que cela pourrait réduire la fréquence des mises à jour de sécurité, qui sont gênantes à la fois pour les particuliers et les entreprises.
Mais”Super Duper Secure Mode”n’est qu’une fonctionnalité expérimentale, pour l’instant. Ceux qui souhaitent le tester doivent télécharger la dernière version d’aperçu de Microsoft Edge (Beta, Dev ou Canary) et taper edge://flags/#edge-enable-super-duper-secure-mode dans leur barre d’adresse.
Source : Microsoft via TechRadar