Уязвимость Microsoft Edge Команда экспериментирует с новым « Super Duper Secure Mode », который идет вразрез со стандартным браузером. методы для значительного повышения веб-безопасности. И хотя этот новый «безопасный режим» может показаться функцией для чрезмерно озабоченных ИТ-отделов, однажды он может стать настройкой по умолчанию для всех пользователей Edge. Итак, как это работает?
Что ж, программное обеспечение, лежащее в основе Super Duper Secure Mode, немного сложно (даже для веб-разработчиков), но общую концепцию довольно легко понять; JIT-компилятор, увеличивающий скорость движка JavaScript V8, представляет собой кошмар безопасности, и его необходимо отключить.
Механизм JavaScript V8 долгое время был излюбленной целью для хакеров, поскольку он очень глючный, его легко использовать и обеспечивает прекрасную точку входа в операционную систему. Представленный в 2008 году компилятор JIT (или Just-In-Time) увеличивает производительность JavaScript за счет безопасности до такой степени, что 45% выявленных уязвимостей V8 связаны с JIT.
Не только это, но компилятор JIT не позволяет разработчикам браузеров включать мощные протоколы безопасности, такие как Intel Controlflow-Enforcement Technology (CET) и Microsoft Защита от произвольного кода (ACG). Преимущества отключения JIT ошеломительны-по мнению группы по устранению уязвимостей Edge, это затрудняет использование хакерами всех уязвимостей браузера.
Такое сокращение поверхности атаки устраняет половину наблюдаемых нами ошибок. в эксплойтах, и каждую оставшуюся ошибку становится труднее использовать. Другими словами, мы снижаем затраты для пользователей, но увеличиваем затраты для злоумышленников.
Но есть причина, по которой эта схема противоречит общепринятой практике. Отключение JIT снижает производительность браузера, особенно на веб-страницах, которые сильно зависят от JavaScript, таких как YouTube. Хотя группа по уязвимостям Edge сообщает, что «пользователи с отключенным JIT редко замечают разницу в своем ежедневном просмотре», разница определенно существует и вызовет возмущение у многих.
Тесты группы по уязвимостям Edge подтверждают, что «Super Duper» Безопасный режим »часто отрицательно влияет на скорость просмотра, особенно время загрузки страницы. Но, честно говоря, среднее снижение времени загрузки на 17%-это не так уж и плохо. А в некоторых случаях отключение JIT действительно положительно сказалось на использовании памяти и энергии.
«Супер-безопасный режим Microsoft» явно требует преодоления некоторых технических препятствий, но команда Edge, вероятно, справится с этой задачей.. Со временем «Super Duper Secure Mode» может стать стандартом по умолчанию для всех пользователей, поскольку его преимущества безопасности слишком сложно игнорировать. Не говоря уже о том, что это может снизить частоту обновлений безопасности, которые раздражают как частных лиц, так и компании.
Но «Super Duper Secure Mode»-это пока лишь экспериментальная функция. Те, кто хочет протестировать его, должны загрузить последнюю предварительную версию Microsoft Edge (Beta, Dev или Canary) и ввести edge://flags/# edge-enable-super-duper-secure-mode в своей адресной строке.
Источник: Microsoft через TechRadar