Kerentanan Edge Microsoft Pasukan bereksperimen dengan” Super Duper Secure Mode “baru yang bertentangan dengan penyemak imbas standard amalan untuk meningkatkan keselamatan web dengan ketara. Dan sementara”Secure Mode”baru ini terdengar seperti ciri untuk jabatan IT yang terlalu prihatin, suatu hari ia boleh menjadi tetapan lalai untuk semua pengguna Edge. Oleh itu, bagaimana ia berfungsi?
Nah, perisian di sebalik Super Duper Secure Mode agak rumit (walaupun untuk pembangun web), tetapi konsep keseluruhannya cukup mudah difahami; penyusun JIT yang meningkatkan kelajuan mesin V8 JavaScript adalah mimpi buruk keselamatan dan perlu dimatikan.
Enjin JavaScript V8 telah lama menjadi sasaran kegemaran penggodam, kerana ia adalah kereta super, mudah dieksploitasi, dan menyediakan jalan masuk yang baik ke dalam sistem operasi. Diperkenalkan pada tahun 2008, penyusun JIT (atau Just-In-Time) meningkatkan prestasi JavaScript dengan kos keselamatan, sehingga 45% kelemahan V8 yang dikenal pasti berkaitan dengan JIT.
Bukan itu sahaja, tetapi penyusun JIT menghalang pembangun penyemak imbas daripada mengaktifkan protokol keselamatan yang kuat seperti Intel Controlflow-Enforcement Technology (CET) dan Microsoft Penjaga Kod Arbitrari (ACG). Manfaat melumpuhkan JIT sangat menakjubkan — menurut Tim Kerentanan Edge, tindakan itu menjadikan semua kelemahan penyemak imbas lebih sukar dimanfaatkan oleh penggodam.
Pengurangan permukaan serangan ini membunuh separuh daripada bug yang kita lihat dalam eksploitasi dan setiap bug yang tinggal menjadi lebih sukar untuk dieksploitasi. Dengan kata lain, kami menurunkan kos untuk pengguna tetapi meningkatkan kos untuk penyerang.
Tetapi ada sebab mengapa skema ini bertentangan dengan praktik biasa. Melumpuhkan JIT menurunkan prestasi penyemak imbas, terutama pada halaman web yang sangat bergantung pada JavaScript, seperti YouTube. Walaupun Pasukan Kerentanan Edge melaporkan bahawa”pengguna dengan kecacatan JIT jarang melihat perbezaan dalam penyemakan imbas harian mereka,”perbezaan pasti ada dan akan menimbulkan kemarahan di antara banyak pihak.
Ujian Pasukan Kerentanan Edge mengesahkan bahawa”Super Duper Mod Selamat ”selalunya mempunyai kesan negatif pada kelajuan menyemak imbas, terutamanya masa muat halaman. Tetapi untuk bersikap adil, regresi rata-rata 17% pada waktu muat tidak begitu buruk. Dan dalam beberapa kes, menonaktifkan JIT sebenarnya memberi kesan positif terhadap penggunaan memori dan kuasa.
“Super Duper Secure Mode”Microsoft jelas perlu mengatasi beberapa rintangan teknikal, tetapi pasukan Edge mungkin sudah siap. Pada waktunya,”Super Duper Secure Mode”dapat menjadi default untuk semua pengguna, kerana manfaat keselamatannya terlalu sulit untuk diabaikan. Belum lagi, ini dapat mengurangkan frekuensi kemas kini keselamatan, yang mengganggu kedua-dua individu dan perniagaan.
Tetapi”Mod Selamat Super Duper”hanyalah ciri eksperimen, buat masa ini. Mereka yang ingin mengujinya mesti memuat turun peluncuran pratonton Microsoft Edge terkini (Beta, Dev, atau Canary) dan ketik tepi://flags/mode # edge-enabled-super-duper-safe di bar alamatnya.
Sumber: Microsoft melalui TechRadar
