Kuka tarvitsee Microsoft Edgen uutta “Super Duper Secure” -tilaa?
Microsoftin Edge Vulnerability Team kokeilee uutta " Super Duper Secure Mode -tilaa ", joka on vastoin tavallisia selaimen käytäntöjä ja parantaa merkittävästi verkkoturvallisuutta. Ja vaikka tämä uusi "Secure Mode" saattaa kuulostaa liian huolestuneiden IT-osastojen ominaisuudesta, se voi päivästä tulee oletusasetus kaikille Edgen käyttäjille. Miten se sitten toimii?
No, Super Duper Secure Moden takana oleva ohjelmisto on hieman monimutkainen (jopa verkkokehittäjille), mutta kokonaiskonsepti on melko helppo ymmärtää; V8 JavaScript -moottorin nopeutta lisäävä JIT-kääntäjä on turvallisuuden painajainen ja se on sammutettava.
V8 JavaScript -moottori on pitkään ollut hakkereiden suosikkikohde, koska se on erittäin buginen, helppokäyttöinen ja tarjoaa upean pääsyn käyttöjärjestelmään. Vuonna 2008 esitelty JIT (tai Just-In-Time) -kääntäjä lisää JavaScriptin suorituskykyä turvallisuuden kustannuksella siihen pisteeseen, että 45 % tunnistetuista V8-haavoittuvuuksista liittyy JIT:hen.
Ei vain, vaan JIT-kääntäjä estää selainkehittäjiä ottamasta käyttöön tehokkaita suojausprotokollia, kuten Intelin Controlflow-Enforcement Technology (CET) ja Microsoftin Arbitrary Code Guard (ACG). JIT:n käytöstä poistamisen edut ovat hämmästyttäviä – Edge Vulnerability Teamin mukaan se tekee kaikkien selaimen haavoittuvuuksien hyödyntämisen vaikeammaksi hakkereille.
Tämä hyökkäyspinnan pieneneminen tappaa puolet hyväksikäytöissä havaitsemistamme vioista ja jokaista jäljellä olevaa bugia on vaikeampi hyödyntää. Toisin sanoen alennamme käyttäjien kustannuksia, mutta lisäämme hyökkääjien kustannuksia.
Mutta on syy, miksi tämä järjestelmä on vastoin yleistä käytäntöä. JIT:n poistaminen käytöstä heikentää selaimen suorituskykyä, erityisesti verkkosivuilla, jotka tukeutuvat voimakkaasti JavaScriptiin, kuten YouTube. Vaikka Edge Vulnerability Team raportoi, että "käyttäjät, joiden JIT on poistettu käytöstä, huomaavat harvoin eron päivittäisessä selailussaan", ero on varmasti olemassa ja aiheuttaisi raivoa monien keskuudessa.
Edge Vulnerability Teamin testit vahvistavat, että "Super Duper Secure Mode" vaikuttaa usein negatiivisesti selausnopeuteen, erityisesti sivujen latausaikoihin. Mutta ollakseni rehellinen, 17 %:n keskimääräinen regressio latausajoissa ei ole ollenkaan huono. Ja joissakin tapauksissa JIT:n poistaminen käytöstä vaikutti positiivisesti muistin ja virrankulutukseen.
Microsoftin "Super Duper Secure Mode" -tilan on selvästi voitettava joitain teknisiä esteitä, mutta Edge-tiimi on todennäköisesti tehtävänsä tasolla. Ajan myötä "Super Duper Secure Mode" -tilasta voi tulla oletusarvo kaikille käyttäjille, koska sen tietoturvaetuja on liian vaikea jättää huomiotta. Puhumattakaan, se voisi vähentää tietoturvapäivitysten tiheyttä, jotka ärsyttävät sekä yksityishenkilöitä että yrityksiä.
Mutta "Super Duper Secure Mode" on toistaiseksi vain kokeellinen ominaisuus. Niiden, jotka haluavat testata sitä, on ladattava uusin Microsoft Edgen esikatseluversio (Beta, Dev tai Canary) ja kirjoitettava osoitepalkkiin edge://flags/#edge-enable-super-duper-secure-mode.
Lähde: Microsoft TechRadarin kautta