Vulnerabilità Microsoft Edge Il team sta sperimentando una nuova”Modalità Super Duper Secure“che va contro il browser standard pratiche per aumentare significativamente la sicurezza web. E mentre questa nuova”Modalità sicura”può sembrare una funzionalità per i reparti IT eccessivamente preoccupati, un giorno potrebbe diventare l’impostazione predefinita per tutti gli utenti Edge. Quindi, come funziona?
Beh, il software dietro Super Duper Secure Mode è un po’complicato (anche per gli sviluppatori web), ma il concetto generale è abbastanza facile da capire; il compilatore JIT che migliora la velocità del motore JavaScript V8 è un incubo per la sicurezza e deve essere disattivato.
Il motore JavaScript V8 è stato a lungo uno dei bersagli preferiti dagli hacker, in quanto è super buggato, facile da sfruttare e fornisce un meraviglioso punto di ingresso in un sistema operativo. Introdotto nel 2008, il compilatore JIT (o Just-In-Time) aumenta le prestazioni JavaScript a scapito della sicurezza, al punto che il 45% delle vulnerabilità V8 identificate è correlato a JIT.
Non solo, ma il compilatore JIT impedisce agli sviluppatori di browser di abilitare potenti protocolli di sicurezza come Controlflow-Enforcement Technology (CET) e Guardia del codice arbitrario (ACG). I vantaggi della disabilitazione di JIT sono sorprendenti: secondo l’Edge Vulnerability Team, ciò rende più difficili da sfruttare tutte le vulnerabilità del browser per gli hacker.
Questa riduzione della superficie di attacco elimina la metà dei bug che vediamo negli exploit e ogni bug rimanente diventa più difficile da sfruttare. Per dirla in altro modo, riduciamo i costi per gli utenti ma aumentiamo i costi per gli aggressori.
Ma c’è un motivo per cui questo schema va contro la pratica comune. La disabilitazione di JIT riduce le prestazioni del browser, in particolare sulle pagine Web che fanno molto affidamento su JavaScript, come YouTube. Sebbene l’Edge Vulnerability Team riporti che”gli utenti con JIT disabilitato raramente notano una differenza nella loro navigazione quotidiana”, una differenza esiste certamente e causerebbe indignazione tra molti.
I test dell’Edge Vulnerability Team confermano che”Super Duper La modalità sicura”ha spesso un impatto negativo sulla velocità di navigazione, in particolare sui tempi di caricamento della pagina. Ma per essere onesti, una regressione media del 17% nei tempi di caricamento non è poi così male. E in alcuni casi, disabilitare JIT ha effettivamente avuto un impatto positivo sulla memoria e sul consumo di energia.
La”Modalità Super Duper Secure”di Microsoft deve chiaramente superare alcuni ostacoli tecnici, ma il team di Edge è probabilmente all’altezza del compito. Col tempo, la”Modalità Super Duper Secure”potrebbe diventare l’impostazione predefinita per tutti gli utenti, poiché i suoi vantaggi in termini di sicurezza sono troppo difficili da ignorare. Per non parlare del fatto che potrebbe ridurre la frequenza degli aggiornamenti di sicurezza, che sono fastidiosi sia per gli individui che per le aziende.
Ma”Super Duper Secure Mode”è solo una funzionalità sperimentale, per ora. Coloro che desiderano testarlo devono scaricare l’ultima versione di anteprima di Microsoft Edge (Beta, Dev o Canary) e digitare edge://flags/#edge-enable-super-duper-secure-mode nella loro barra degli indirizzi.
Fonte: Microsoft tramite TechRadar
