Microsoft’s Edge Vulnerability Team experimenteert met een nieuwe”Super Duper Secure Mode ” dat indruist tegen de standaard browserpraktijken om de webbeveiliging aanzienlijk te verbeteren. En hoewel deze nieuwe”Beveiligde modus”misschien klinkt als een functie voor overbezorgde IT-afdelingen, zou het op een dag de standaardinstelling kunnen worden voor alle Edge-gebruikers. Dus hoe werkt het?
Nou, de software achter de Super Duper Secure Mode is een beetje ingewikkeld (zelfs voor webontwikkelaars), maar het algemene concept is vrij eenvoudig te begrijpen; De snelheidsverhogende JIT-compiler van de V8 JavaScript-engine is een beveiligingsnachtmerrie en moet worden uitgeschakeld.
De V8 JavaScript-engine is al lang een favoriet doelwit voor hackers, omdat het super buggy is, gemakkelijk te exploiteren is en een prachtig toegangspunt biedt tot een besturingssysteem. De in 2008 geïntroduceerde JIT (of Just-In-Time) compiler verhoogt de JavaScript-prestaties ten koste van de beveiliging, tot het punt dat 45% van de geïdentificeerde V8-kwetsbaarheden gerelateerd is aan JIT.
Niet alleen dat, maar de JIT-compiler verhindert browserontwikkelaars krachtige beveiligingsprotocollen zoals Intel’s Controlflow-Enforcement Technology (CET) en Arbitrary Code Guard (ACG). De voordelen van het uitschakelen van JIT zijn verbluffend: volgens het Edge Vulnerability Team maakt dit het voor hackers moeilijker om alle kwetsbaarheden in de browser te misbruiken.
Deze vermindering van het aanvalsoppervlak doodt de helft van de bugs die we in exploits zien en elke resterende bug wordt moeilijker te exploiteren. Anders gezegd: we verlagen de kosten voor gebruikers, maar verhogen de kosten voor aanvallers.
Maar er is een reden waarom dit schema indruist tegen de gangbare praktijk. Het uitschakelen van JIT verlaagt de browserprestaties, vooral op webpagina’s die sterk afhankelijk zijn van JavaScript, zoals YouTube. Hoewel het Edge Vulnerability Team meldt dat”gebruikers met JIT uitgeschakeld zelden een verschil merken in hun dagelijkse browsen”, bestaat er zeker een verschil dat bij velen verontwaardiging zou veroorzaken.
De tests van het Edge Vulnerability Team bevestigen dat de”Super Duper Secure Mode”vaak een negatief effect heeft op de browsesnelheid, met name de laadtijden van pagina’s. Maar om eerlijk te zijn, een gemiddelde regressie van 17% in laadtijden is niet zo slecht. En in sommige gevallen had het uitschakelen van JIT zelfs een positieve invloed op het geheugen en het stroomverbruik.
Microsoft’s”Super Duper Secure Mode”moet duidelijk een aantal technische hindernissen overwinnen, maar het Edge-team is waarschijnlijk opgewassen tegen de taak. Na verloop van tijd zou de”Super Duper Secure Mode”de standaard kunnen worden voor alle gebruikers, omdat de beveiligingsvoordelen gewoon te moeilijk zijn om te negeren. Om nog maar te zwijgen van het feit dat het de frequentie van beveiligingsupdates kan verminderen, die vervelend zijn voor zowel particulieren als bedrijven.
Maar”Super Duper Secure Mode”is voorlopig slechts een experimentele functie. Degenen die het willen testen, moeten de nieuwste Microsoft Edge preview-release (Beta, Dev of Canary) downloaden en edge://flags/#edge-enable-super-duper-secure-mode in hun adresbalk.
