¿Quién necesita el nuevo modo “Super Duper Secure” de Microsoft Edge?
El equipo de vulnerabilidad de Edge de Microsoft está experimentando con un nuevo " Modo seguro Super Duper " que va en contra de las prácticas estándar de los navegadores para mejorar significativamente la seguridad web. Y aunque este nuevo "Modo seguro" puede sonar como una característica para departamentos de TI demasiado preocupados, podría ser una día se convierte en la configuración predeterminada para todos los usuarios de Edge. Entonces, ¿cómo funciona?
Bueno, el software detrás de Super Duper Secure Mode es un poco complicado (incluso para los desarrolladores web), pero el concepto general es bastante fácil de comprender; El compilador JIT que mejora la velocidad del motor JavaScript V8 es una pesadilla de seguridad y debe apagarse.
El motor JavaScript V8 ha sido durante mucho tiempo un objetivo favorito para los piratas informáticos, ya que tiene muchos errores, es fácil de explotar y proporciona un maravilloso punto de entrada a un sistema operativo. Introducido en 2008, el compilador JIT (o Just-In-Time) aumenta el rendimiento de JavaScript a costa de la seguridad, hasta el punto de que el 45% de las vulnerabilidades V8 identificadas están relacionadas con JIT.
No solo eso, sino que el compilador JIT evita que los desarrolladores de navegadores habiliten poderosos protocolos de seguridad como Controlflow-Enforcement Technology (CET) de Intel y Arbitrary Code Guard (ACG) de Microsoft. Los beneficios de deshabilitar JIT son sorprendentes: según el Equipo de vulnerabilidades de Edge, hacerlo hace que todas las vulnerabilidades del navegador sean más difíciles de explotar para los piratas informáticos.
Esta reducción en la superficie de ataque elimina la mitad de los errores que vemos en los exploits y todos los errores restantes se vuelven más difíciles de explotar. En otras palabras, reducimos los costos para los usuarios pero aumentamos los costos para los atacantes.
Pero hay una razón por la cual este esquema va en contra de la práctica común. Deshabilitar JIT reduce el rendimiento del navegador, especialmente en páginas web que dependen en gran medida de JavaScript, como YouTube. Aunque el Equipo de Vulnerabilidad de Edge informa que "los usuarios con JIT deshabilitado rara vez notan una diferencia en su navegación diaria", ciertamente existe una diferencia y causaría indignación entre muchos.
Las pruebas del Edge Vulnerability Team confirman que el "Super Duper Secure Mode" a menudo tiene un impacto negativo en la velocidad de navegación, especialmente en los tiempos de carga de la página. Pero para ser justos, una regresión promedio del 17 % en los tiempos de carga no es tan mala. Y en algunos casos, deshabilitar JIT en realidad tuvo un impacto positivo en el uso de memoria y energía.
El "Modo seguro Super Duper" de Microsoft claramente necesita superar algunos obstáculos técnicos, pero el equipo de Edge probablemente esté preparado para la tarea. Con el tiempo, el "Modo seguro Super Duper" podría convertirse en el predeterminado para todos los usuarios, ya que sus beneficios de seguridad son demasiado difíciles de ignorar. Sin mencionar que podría reducir la frecuencia de las actualizaciones de seguridad, que son molestas tanto para las personas como para las empresas.
Pero el "Modo seguro Super Duper" es solo una característica experimental, por ahora. Aquellos que quieran probarlo deben descargar la última versión preliminar de Microsoft Edge (Beta, Dev o Canary) y escribir edge://flags/#edge-enable-super-duper-secure-mode en su barra de direcciones.
Fuente: Microsoft vía TechRadar