Nhóm Lỗ hổng bảo mật Edge của Microsoft đang thử nghiệm “ Chế độ bảo mật Super Duper mới ”Đi ngược lại các thông lệ trình duyệt tiêu chuẩn để tăng cường đáng kể bảo mật web. Và mặc dù “Chế độ bảo mật” mới này có vẻ giống như một tính năng dành cho các bộ phận CNTT quá quan tâm, nhưng một ngày nào đó, nó có thể trở thành cài đặt mặc định cho tất cả người dùng Edge. Vậy nó hoạt động như thế nào?
Chà, phần mềm đằng sau Chế độ bảo mật Super Duper hơi phức tạp (ngay cả với các nhà phát triển web), nhưng khái niệm tổng thể khá dễ hiểu; trình biên dịch JIT tăng cường tốc độ của động cơ V8 JavaScript là một cơn ác mộng về bảo mật và cần phải tắt.
Công cụ JavaScript V8 từ lâu đã là mục tiêu ưa thích của tin tặc vì nó siêu lỗi, dễ khai thác và cung cấp một điểm truy cập tuyệt vời vào hệ điều hành. Được giới thiệu vào năm 2008, trình biên dịch JIT (hoặc Just-In-Time) tăng hiệu suất JavaScript với chi phí bảo mật, đến mức 45% lỗ hổng V8 được xác định có liên quan đến JIT.
Không chỉ vậy, trình biên dịch JIT còn ngăn các nhà phát triển trình duyệt kích hoạt các giao thức bảo mật mạnh mẽ như Controlflow-Enforcement Technology (CET) và Trình bảo vệ mã tùy ý (ACG). Lợi ích của việc vô hiệu hóa JIT là rất tuyệt vời — theo Nhóm xử lý lỗ hổng Edge, làm như vậy khiến cho tất cả các lỗ hổng trên trình duyệt khó bị tin tặc khai thác hơn.
Việc giảm bề mặt tấn công này giết chết một nửa số lỗi mà chúng ta thấy trong các lần khai thác và mọi lỗi còn lại trở nên khó khai thác hơn. Nói cách khác, chúng tôi giảm chi phí cho người dùng nhưng lại tăng chi phí cho những kẻ tấn công.
Nhưng có một lý do khiến chương trình này đi ngược lại thực tiễn thông thường. Việc tắt JIT làm giảm hiệu suất trình duyệt, đặc biệt là trên các trang web phụ thuộc nhiều vào JavaScript, như YouTube. Mặc dù Nhóm xử lý lỗ hổng Edge báo cáo rằng “người dùng bị vô hiệu hóa JIT hiếm khi nhận thấy sự khác biệt trong quá trình duyệt web hàng ngày của họ”, sự khác biệt chắc chắn tồn tại và sẽ gây ra sự phẫn nộ trong số nhiều người.
Các cuộc kiểm tra của Nhóm lỗ hổng bảo mật của Edge xác nhận rằng “Chế độ bảo mật Super Duper” thường có tác động tiêu cực về tốc độ duyệt, đặc biệt là thời gian tải trang. Nhưng công bằng mà nói, hồi quy trung bình 17% trong thời gian tải không phải là quá tệ. Và trong một số trường hợp, việc tắt JIT thực sự có tác động tích cực đến bộ nhớ và việc sử dụng năng lượng.
“Chế độ bảo mật Super Duper” của Microsoft rõ ràng cần phải vượt qua một số rào cản kỹ thuật, nhưng nhóm Edge có thể đã hoàn thành nhiệm vụ. Theo thời gian, “Chế độ bảo mật Super Duper” có thể trở thành chế độ mặc định cho tất cả người dùng, vì những lợi ích bảo mật của nó quá khó để bỏ qua. Chưa kể, nó có thể làm giảm tần suất cập nhật bảo mật, vốn gây khó chịu cho cả cá nhân và doanh nghiệp.
Nhưng “Chế độ bảo mật Super Duper” hiện chỉ là một tính năng thử nghiệm. Những người muốn kiểm tra nó phải tải xuống bản phát hành xem trước Microsoft Edge mới nhất (Beta, Dev hoặc Canary) và nhập edge://flags/# edge-enable-super-duper-secure-mode trên thanh địa chỉ của chúng.
Nguồn: Microsoft qua TechRadar