Chi ha bisogno della nuova modalità “Super Duper Secure” di Microsoft Edge?
L’Edge Vulnerability Team di Microsoft sta sperimentando una nuova " Modalità Super Duper Secure " che va contro le pratiche standard dei browser per aumentare significativamente la sicurezza web. E mentre questa nuova "Modalità sicura" può sembrare una funzionalità per i dipartimenti IT eccessivamente interessati, potrebbe giorno diventa l’impostazione predefinita per tutti gli utenti di Edge. Quindi, come funziona?
Bene, il software dietro Super Duper Secure Mode è un po’ complicato (anche per gli sviluppatori web), ma il concetto generale è abbastanza facile da capire; il compilatore JIT per il miglioramento della velocità del motore JavaScript V8 è un incubo per la sicurezza e deve essere disattivato.
Il motore JavaScript V8 è stato a lungo uno dei bersagli preferiti dagli hacker, poiché è super buggato, facile da sfruttare e fornisce un ottimo punto di ingresso in un sistema operativo. Introdotto nel 2008, il compilatore JIT (o Just-In-Time) aumenta le prestazioni JavaScript a scapito della sicurezza, al punto che il 45% delle vulnerabilità V8 identificate sono correlate a JIT.
Non solo, il compilatore JIT impedisce agli sviluppatori di browser di abilitare potenti protocolli di sicurezza come Controlflow-Enforcement Technology (CET) di Intel e Arbitrary Code Guard (ACG) di Microsoft. I vantaggi della disabilitazione di JIT sono sorprendenti: secondo l’Edge Vulnerability Team, ciò rende tutte le vulnerabilità del browser più difficili da sfruttare per gli hacker.
Questa riduzione della superficie di attacco elimina la metà dei bug che vediamo negli exploit e ogni bug rimanente diventa più difficile da sfruttare. In altre parole, abbassiamo i costi per gli utenti ma aumentiamo i costi per gli aggressori.
Ma c’è una ragione per cui questo schema va contro la pratica comune. La disabilitazione di JIT riduce le prestazioni del browser, in particolare sulle pagine Web che fanno molto affidamento su JavaScript, come YouTube. Sebbene l’Edge Vulnerability Team riporti che "gli utenti con JIT disabilitato raramente notano una differenza nella loro navigazione quotidiana", una differenza esiste sicuramente e provocherebbe indignazione tra molti.
I test dell’Edge Vulnerability Team confermano che la "Modalità Super Duper Secure" ha spesso un impatto negativo sulla velocità di navigazione, in particolare sui tempi di caricamento delle pagine. Ma per essere onesti, una regressione media del 17% nei tempi di caricamento non è poi così male. E in alcuni casi, la disabilitazione di JIT ha effettivamente avuto un impatto positivo sulla memoria e sull’utilizzo di energia.
La "Modalità Super Duper Secure" di Microsoft ha chiaramente bisogno di superare alcuni ostacoli tecnici, ma il team di Edge è probabilmente all’altezza del compito. Col tempo, la "Modalità Super Duper Secure" potrebbe diventare l’impostazione predefinita per tutti gli utenti, poiché i suoi vantaggi in termini di sicurezza sono troppo difficili da ignorare. Per non parlare del fatto che potrebbe ridurre la frequenza degli aggiornamenti di sicurezza, che sono fastidiosi sia per gli individui che per le aziende.
Ma "Modalità Super Duper Secure" è solo una funzionalità sperimentale, per ora. Coloro che vogliono testarlo devono scaricare l’ultima versione di anteprima di Microsoft Edge (Beta, Dev o Canary) e digitare edge://flags/#edge-enable-super-duper-secure-mode nella barra degli indirizzi.
Fonte: Microsoft tramite TechRadar