Kerentanan Edge Microsoft Tim sedang bereksperimen dengan”Mode Aman Super Duper“baru yang bertentangan dengan browser standar praktik untuk meningkatkan keamanan web secara signifikan. Dan sementara”Mode Aman”baru ini mungkin terdengar seperti fitur untuk departemen TI yang terlalu peduli, suatu hari nanti bisa menjadi pengaturan default untuk semua pengguna Edge. Jadi bagaimana cara kerjanya?
Yah, perangkat lunak di balik Mode Aman Super Duper agak rumit (bahkan untuk pengembang web), tetapi konsep keseluruhannya cukup mudah dipahami; kompiler JIT peningkatan kecepatan mesin JavaScript V8 adalah mimpi buruk keamanan dan harus dimatikan.
Mesin JavaScript V8 telah lama menjadi target favorit bagi peretas, karena sangat bermasalah, mudah dieksploitasi, dan menyediakan titik masuk yang bagus ke dalam sistem operasi. Diperkenalkan pada tahun 2008, compiler JIT (atau Just-In-Time) meningkatkan kinerja JavaScript dengan mengorbankan keamanan, hingga 45% dari kerentanan V8 yang teridentifikasi terkait dengan JIT.
Tidak hanya itu, tetapi kompiler JIT mencegah pengembang browser mengaktifkan protokol keamanan yang kuat seperti Controlflow-Enforcement Technology (CET) dan Microsoft Penjaga Kode Sewenang-wenang (ACG). Manfaat menonaktifkan JIT sangat menakjubkan—menurut Edge Vulnerability Team, hal itu membuat semua kerentanan browser lebih sulit dieksploitasi oleh peretas.
Pengurangan permukaan serangan ini membunuh setengah dari bug yang kita lihat dalam eksploitasi dan setiap bug yang tersisa menjadi lebih sulit untuk dieksploitasi. Dengan kata lain, kami menurunkan biaya untuk pengguna tetapi meningkatkan biaya untuk penyerang.
Namun ada alasan mengapa skema ini bertentangan dengan praktik umum. Menonaktifkan JIT menurunkan kinerja browser, terutama pada halaman web yang sangat bergantung pada JavaScript, seperti YouTube. Meskipun Tim Kerentanan Edge melaporkan bahwa”pengguna dengan JIT yang dinonaktifkan jarang melihat perbedaan dalam penjelajahan harian mereka,”perbedaan pasti ada dan akan menyebabkan kemarahan di antara banyak orang.
Tes Tim Kerentanan Edge mengonfirmasi bahwa”Super Duper Mode Aman” sering kali dampak negatif pada kecepatan penjelajahan, terutama waktu pemuatan halaman. Tetapi agar adil, regresi rata-rata 17% dalam waktu muat tidak terlalu buruk. Dan dalam beberapa kasus, menonaktifkan JIT benar-benar berdampak positif pada penggunaan memori dan daya.
“Mode Aman Super Duper” Microsoft jelas perlu mengatasi beberapa rintangan teknis, tetapi tim Edge mungkin siap untuk tugas itu. Pada waktunya,”Mode Aman Super Duper”bisa menjadi default untuk semua pengguna, karena manfaat keamanannya terlalu sulit untuk diabaikan. Belum lagi, ini dapat mengurangi frekuensi pembaruan keamanan, yang mengganggu baik individu maupun bisnis.
Tetapi “Mode Aman Super Duper” hanyalah fitur eksperimental, untuk saat ini. Mereka yang ingin mengujinya harus mengunduh rilis pratinjau Microsoft Edge terbaru (Beta, Dev, atau Canary) dan ketik edge://flags/#edge-enable-super-duper-secure-mode di bilah alamat mereka.
Sumber: Microsoft melalui TechRadar