...
🧑 💻 Piszemy artykuły o gadżetach, komputerach, samochodach, grach i hobby. Przydatne recenzje o najciekawszych

Kto potrzebuje nowego trybu „Super Duper Secure” w Microsoft Edge?

3

Microsoft

Zespół ds. luk w zabezpieczeniach Edge firmy Microsoft eksperymentuje z nowym „ trybem Super Duper Secure Mode ", który jest sprzeczny ze standardowymi praktykami przeglądarek, aby znacznie zwiększyć bezpieczeństwo w sieci. I chociaż ten nowy „tryb bezpieczny” może brzmieć jak funkcja dla nadmiernie zainteresowanych działów IT, może dzień stał się domyślnym ustawieniem dla wszystkich użytkowników Edge’a. Jak to działa?

Cóż, oprogramowanie stojące za trybem Super Duper Secure Mode jest nieco skomplikowane (nawet dla twórców stron internetowych), ale ogólna koncepcja jest dość łatwa do zrozumienia; Zwiększający szybkość kompilator JIT silnika JavaScript V8 jest koszmarem bezpieczeństwa i należy go wyłączyć.

Silnik JavaScript V8 od dawna jest ulubionym celem hakerów, ponieważ jest bardzo błędny, łatwy do wykorzystania i stanowi wspaniały punkt wejścia do systemu operacyjnego. Wprowadzony w 2008 roku kompilator JIT (lub Just-In-Time) zwiększa wydajność JavaScript kosztem bezpieczeństwa, do tego stopnia, że ​​45% zidentyfikowanych luk V8 jest związanych z JIT.

Nie tylko to, ale kompilator JIT uniemożliwia twórcom przeglądarek włączenie zaawansowanych protokołów bezpieczeństwa, takich jak technologia Controlflow-Enforcement Technology (CET) firmy Intel i funkcja Arbitrary Code Guard (ACG) firmy Microsoft. Korzyści z wyłączenia JIT są oszałamiające — zdaniem zespołu Edge Vulnerability Team sprawia to, że hakerom trudniej jest wykorzystać wszystkie luki w przeglądarkach.

To zmniejszenie powierzchni ataku zabija połowę błędów, które widzimy w exploitach, a każdy pozostały błąd staje się trudniejszy do wykorzystania. Innymi słowy, obniżamy koszty dla użytkowników, ale zwiększamy koszty dla atakujących.

Ale jest powód, dla którego ten schemat jest sprzeczny z powszechną praktyką. Wyłączenie JIT obniża wydajność przeglądarki, zwłaszcza na stronach internetowych, które w dużym stopniu opierają się na JavaScript, takich jak YouTube. Chociaż zespół ds. luk w zabezpieczeniach Edge donosi, że „użytkownicy z wyłączonym JIT rzadko zauważają różnicę w codziennym przeglądaniu stron”, różnica z pewnością istnieje i wywołałaby oburzenie wśród wielu.

Testy Edge Vulnerability Team potwierdzają, że „Tryb Super Duper Secure Mode” często ma negatywny wpływ na szybkość przeglądania, zwłaszcza na czas ładowania strony. Ale żeby być uczciwym, średnia regresja o 17% w czasach ładowania nie jest taka zła. W niektórych przypadkach wyłączenie JIT faktycznie miało pozytywny wpływ na zużycie pamięci i energii.

„Tryb Super Duper Secure Mode” Microsoftu wyraźnie musi pokonać pewne przeszkody techniczne, ale zespół Edge prawdopodobnie poradzi sobie z tym zadaniem. Z czasem „Super Duper Secure Mode” może stać się domyślnym trybem dla wszystkich użytkowników, ponieważ jego korzyści w zakresie bezpieczeństwa są zbyt trudne do zignorowania. Nie wspominając o tym, że może to zmniejszyć częstotliwość aktualizacji zabezpieczeń, które są irytujące zarówno dla osób prywatnych, jak i firm.

Ale „Super Duper Secure Mode” to na razie tylko funkcja eksperymentalna. Ci, którzy chcą to przetestować, muszą pobrać najnowszą wersję zapoznawczą Microsoft Edge (Beta, Dev lub Canary) i wpisać edge://flags/#edge-enable-super-duper-secure-mode w pasku adresu.

Źródło: Microsoft za pośrednictwem TechRadar

Źródło nagrywania: www.reviewgeek.com

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów