Luka Microsoft Edge Zespół eksperymentuje z nowym „Super Duper Secure Mode”, który jest sprzeczny ze standardową przeglądarką praktyki znacznie zwiększające bezpieczeństwo w sieci. I chociaż ten nowy „tryb bezpieczny” może brzmieć jak funkcja dla nadmiernie zainteresowanych działów IT, pewnego dnia może stać się domyślnym ustawieniem dla wszystkich użytkowników Edge. Jak to działa?
Cóż, oprogramowanie stojące za trybem Super Duper Secure Mode jest nieco skomplikowane (nawet dla twórców stron internetowych), ale ogólna koncepcja jest dość łatwa do uchwycenia; Przyspieszony kompilator JIT silnika JavaScript V8 to koszmar bezpieczeństwa i należy go wyłączyć.
Silnik JavaScript V8 od dawna jest ulubionym celem hakerów, ponieważ jest bardzo błędny, łatwy do wykorzystania i stanowi wspaniały punkt wejścia do systemu operacyjnego. Wprowadzony w 2008 roku kompilator JIT (lub Just-In-Time) zwiększa wydajność JavaScript kosztem bezpieczeństwa, do tego stopnia, że 45% zidentyfikowanych luk V8 jest związanych z JIT.
Nie tylko to, ale kompilator JIT uniemożliwia programistom przeglądarek włączanie zaawansowanych protokołów bezpieczeństwa, takich jak Technologia Controlflow-Enforcement (CET) i Ochrona kodu arbitralnego (ACG). Korzyści z wyłączenia JIT są oszałamiające — zdaniem zespołu ds. luk w zabezpieczeniach krawędzi sprawia to, że hakerom trudniej jest wykorzystać wszystkie luki w przeglądarkach.
Ta redukcja powierzchni ataku zabija połowę błędów, które widzimy w exploitach, a każdy pozostały błąd staje się trudniejszy do wykorzystania. Innymi słowy, obniżamy koszty dla użytkowników, ale zwiększamy koszty dla atakujących.
Ale jest powód, dla którego ten schemat jest sprzeczny z powszechną praktyką. Wyłączenie JIT obniża wydajność przeglądarki, zwłaszcza na stronach internetowych, które w dużym stopniu opierają się na JavaScript, takich jak YouTube. Chociaż zespół ds. luk w zabezpieczeniach Edge donosi, że „użytkownicy z wyłączonym JIT rzadko zauważają różnicę w codziennym przeglądaniu sieci”, z pewnością istnieje różnica, która wywołałaby oburzenie wśród wielu.
Testy zespołu ds. luk w zabezpieczeniach Edge potwierdzają, że „Super Duper Tryb bezpieczny” często ma negatywny wpływ na szybkość przeglądania, zwłaszcza na czas ładowania strony. Ale żeby być uczciwym, średnia regresja o 17% w czasach ładowania nie jest taka zła. W niektórych przypadkach wyłączenie JIT miało pozytywny wpływ na zużycie pamięci i energii.
Tryb „Super Duper Secure Mode” firmy Microsoft wyraźnie musi pokonać pewne przeszkody techniczne, ale zespół Edge prawdopodobnie poradzi sobie z tym zadaniem. Z czasem „Super Duper Secure Mode” może stać się domyślnym trybem dla wszystkich użytkowników, ponieważ jego korzyści w zakresie bezpieczeństwa są zbyt trudne do zignorowania. Nie wspominając o tym, że może to zmniejszyć częstotliwość aktualizacji zabezpieczeń, które są denerwujące zarówno dla osób fizycznych, jak i firm.
Ale „tryb Super Duper Secure” jest na razie tylko funkcją eksperymentalną. Ci, którzy chcą go przetestować, muszą pobrać najnowszą wersję zapoznawczą Microsoft Edge (Beta, Dev lub Canary) i wpisać edge://flags/#edge-enable-super-duper-secure-mode na pasku adresu.
Źródło: Microsoft przez TechRadar
