Кому нужен новый «супер-пупер-безопасный» режим Microsoft Edge?
Группа Microsoft Edge Vulnerability Team экспериментирует с новым «супер-дупер безопасным режимом », который идет вразрез со стандартными методами браузера, чтобы значительно повысить веб-безопасность. И хотя этот новый «безопасный режим» может показаться функцией для чрезмерно озабоченных ИТ-отделов, он может день станет настройкой по умолчанию для всех пользователей Edge. Так как же это работает?
Что ж, программное обеспечение Super Duper Secure Mode немного сложное (даже для веб-разработчиков), но общую концепцию довольно легко понять; JIT-компилятор JIT-компилятора V8 JavaScript — это кошмар безопасности, и его нужно отключить.
JavaScript-движок V8 долгое время был излюбленной мишенью хакеров, поскольку в нем много ошибок, его легко использовать и он обеспечивает прекрасную точку входа в операционную систему. Представленный в 2008 году компилятор JIT (или Just-In-Time) повышает производительность JavaScript за счет безопасности, до такой степени, что 45% выявленных уязвимостей V8 связаны с JIT.
Кроме того, JIT-компилятор не позволяет разработчикам браузеров включать мощные протоколы безопасности, такие как Intel Controlflow-Enforcement Technology (CET) и Microsoft Arbitrary Code Guard (ACG). Преимущества отключения JIT ошеломительны — по мнению группы Edge Vulnerability Team, это затрудняет использование хакерами всех уязвимостей браузера.
Это сокращение поверхности атаки убивает половину ошибок, которые мы видим в эксплойтах, и каждую оставшуюся ошибку становится труднее использовать. Другими словами, мы снижаем затраты для пользователей, но увеличиваем затраты для злоумышленников.
Но есть причина, по которой эта схема идет вразрез с общепринятой практикой. Отключение JIT снижает производительность браузера, особенно на веб-страницах, которые сильно зависят от JavaScript, таких как YouTube. Хотя группа Edge Vulnerability Team сообщает, что «пользователи с отключенным JIT редко замечают разницу в своем повседневном просмотре», разница, безусловно, существует и вызовет возмущение у многих.
Тесты Edge Vulnerability Team подтверждают, что «Супер-дупер-безопасный режим» часто оказывает негативное влияние на скорость работы в Интернете, особенно на время загрузки страницы. Но, честно говоря, среднее снижение времени загрузки на 17 % — это не так уж и плохо. А в некоторых случаях отключение JIT действительно положительно сказалось на использовании памяти и энергии.
«Супер-дупер-безопасный режим» Microsoft явно нуждается в преодолении некоторых технических препятствий, но команда Edge, вероятно, справится с этой задачей. Со временем «Супер-дупер-безопасный режим» может стать стандартом для всех пользователей, поскольку его преимущества в плане безопасности слишком сложно игнорировать. Не говоря уже о том, что это может снизить частоту обновлений безопасности, которые раздражают как частных лиц, так и компании.
Но «Супер-дупер-безопасный режим» пока является экспериментальной функцией. Те, кто хочет протестировать его, должны загрузить последнюю предварительную версию Microsoft Edge (Beta, Dev или Canary) и ввести в адресной строке edge://flags/#edge-enable-super-duper-secure-mode.
Источник: Microsoft через TechRadar .