ทีมช่องโหว่ Edge ของ Microsoft กำลังทดลองใช้ “โหมด Super Duper Secure ใหม่ ” ที่ขัดกับแนวทางปฏิบัติของเบราว์เซอร์มาตรฐานเพื่อเพิ่มความปลอดภัยให้กับเว็บอย่างมาก และในขณะที่”โหมดปลอดภัย”ใหม่นี้อาจดูเหมือนเป็นคุณลักษณะสำหรับแผนกไอทีที่มีความกังวลมากเกินไป วันหนึ่งอาจกลายเป็นการตั้งค่าเริ่มต้นสำหรับผู้ใช้ Edge ทั้งหมด แล้วมันทำงานอย่างไร?
ซอฟต์แวร์ที่อยู่เบื้องหลัง Super Duper Secure Mode นั้นค่อนข้างซับซ้อน (แม้แต่กับนักพัฒนาเว็บ) แต่แนวคิดโดยรวมนั้นค่อนข้างเข้าใจง่าย คอมไพเลอร์ JIT ที่เพิ่มความเร็วของเอ็นจิ้น V8 JavaScript เป็นฝันร้ายด้านความปลอดภัยและจำเป็นต้องปิด
เอ็นจิ้น V8 JavaScript เป็นเป้าหมายที่แฮ็กเกอร์ชื่นชอบมานานแล้ว เนื่องจากมีบั๊กมาก ใช้ประโยชน์ได้ง่าย และเป็นจุดเริ่มต้นที่ยอดเยี่ยมในระบบปฏิบัติการ เปิดตัวในปี 2008 คอมไพเลอร์ JIT (หรือ Just-In-Time) เพิ่มประสิทธิภาพการทำงานของ JavaScript โดยต้องเสียค่าความปลอดภัย จนถึงจุดที่ 45% ของช่องโหว่ V8 ที่ระบุนั้นเกี่ยวข้องกับ JIT
ไม่เพียงแค่นั้น แต่คอมไพเลอร์ JIT ยังป้องกันไม่ให้นักพัฒนาเบราว์เซอร์เปิดใช้งานโปรโตคอลความปลอดภัยที่ทรงพลัง เช่น Controlflow-Enforcement Technology (CET) และ Arbitrary Code Guard (ACG) ประโยชน์ของการปิดใช้ JIT นั้นน่าทึ่งมาก ตามที่ทีมช่องโหว่ของ Edge การทำเช่นนี้ทำให้ช่องโหว่ของเบราว์เซอร์ ทั้งหมด ยากขึ้นสำหรับแฮ็กเกอร์ที่จะหาประโยชน์
การลดลงของพื้นผิวการโจมตีนี้ฆ่าแมลงครึ่งหนึ่งที่เราเห็นในการหาประโยชน์และทุกจุดบกพร่องที่เหลือจะกลายเป็นเรื่องยากขึ้น กล่าวอีกนัยหนึ่ง เราลดต้นทุนสำหรับผู้ใช้แต่เพิ่มต้นทุนสำหรับผู้โจมตี
แต่มีเหตุผลว่าทำไมโครงการนี้จึงขัดกับหลักปฏิบัติทั่วไป การปิดใช้งาน JIT จะทำให้ประสิทธิภาพของเบราว์เซอร์ลดลง โดยเฉพาะในหน้าเว็บที่ต้องอาศัย JavaScript เป็นหลัก เช่น YouTube แม้ว่า Edge Vulnerability Team รายงานว่า”ผู้ใช้ที่ปิดใช้งาน JIT ไม่ค่อยสังเกตเห็นความแตกต่างในการท่องเว็บในแต่ละวัน”ความแตกต่างนั้นมีอยู่อย่างแน่นอนและจะทำให้เกิดความไม่พอใจในหลาย ๆ คน
การทดสอบของทีม Edge Vulnerability ยืนยันว่า “Super Duper Secure Mode” มักจะมี ผลกระทบด้านลบ เกี่ยวกับความเร็วในการท่องเว็บ โดยเฉพาะเวลาในการโหลดหน้าเว็บ แต่เพื่อความเป็นธรรม การถดถอยเฉลี่ย 17% ของเวลาในการโหลดไม่ได้แย่ขนาดนั้น และในบางกรณี การปิดใช้งาน JIT ส่งผลดีต่อหน่วยความจำและการใช้พลังงาน
“Super Duper Secure Mode”ของ Microsoft จำเป็นต้องเอาชนะอุปสรรคทางเทคนิคบางอย่างอย่างชัดเจน แต่ทีม Edge น่าจะพร้อมสำหรับงานนี้ ในเวลาที่กำหนด “โหมด Super Duper Secure” อาจกลายเป็นค่าเริ่มต้นสำหรับผู้ใช้ทุกคน เนื่องจากประโยชน์ด้านความปลอดภัยนั้นยากเกินกว่าจะมองข้าม ยิ่งไปกว่านั้น ยังช่วยลดความถี่ในการอัปเดตความปลอดภัย ซึ่งสร้างความรำคาญให้กับทั้งบุคคลและธุรกิจ
แต่ตอนนี้ “โหมด Super Duper Secure” เป็นเพียงฟีเจอร์ทดลอง ผู้ที่ต้องการทดสอบจะต้องดาวน์โหลด รุ่นตัวอย่าง Microsoft Edge ล่าสุด (เบต้า เวอร์ชัน Dev หรือ Canary) แล้วพิมพ์ edge://flags/#edge-enable-super-duper-secure-mode ในแถบที่อยู่
ที่มา: Microsoft ผ่าน TechRadar