Vem behöver Microsoft Edges nya “Super Duper Secure”-läge?
Microsofts Edge Vulnerability Team experimenterar med ett nytt " Super Duper Secure Mode " som går emot standard webbläsarpraxis för att avsevärt öka webbsäkerheten. Och även om detta nya "Secure Mode" kan låta som en funktion för alltför oroade IT-avdelningar, kan det en dag blir standardinställningen för alla Edge-användare. Så hur fungerar det?
Tja, mjukvaran bakom Super Duper Secure Mode är lite komplicerad (även för webbutvecklare), men det övergripande konceptet är ganska lätt att förstå; V8 JavaScript-motorns hastighetshöjande JIT-kompilator är en säkerhetsmardröm och måste stängas av.
V8 JavaScript-motorn har länge varit ett favoritmål för hackare, eftersom den är superbuggig, lätt att utnyttja och ger en underbar ingång till ett operativsystem. JIT (eller Just-In-Time) kompilatorn introducerades 2008 och ökar JavaScript-prestandan på bekostnad av säkerheten, till den grad att 45 % av identifierade V8-sårbarheter är relaterade till JIT.
Inte bara det, utan JIT-kompilatorn hindrar webbläsarutvecklare från att möjliggöra kraftfulla säkerhetsprotokoll som Intels Controlflow-Enforcement Technology (CET) och Microsofts Arbitrary Code Guard (ACG). Fördelarna med att inaktivera JIT är fantastiska – enligt Edge Vulnerability Team gör det att alla webbläsarsårbarheter blir svårare för hackare att utnyttja.
Denna minskning av attackytan dödar hälften av de buggar vi ser i exploits och varje kvarvarande bugg blir svårare att utnyttja. För att uttrycka det på ett annat sätt, vi sänker kostnaderna för användarna men ökar kostnaderna för angriparna.
Men det finns en anledning till varför detta system går emot vanlig praxis. Att inaktivera JIT sänker webbläsarens prestanda, särskilt på webbsidor som är starkt beroende av JavaScript, som YouTube. Även om Edge Vulnerability Team rapporterar att "användare med JIT inaktiverad sällan märker någon skillnad i sin dagliga surfning", så finns det verkligen en skillnad och skulle orsaka upprördhet bland många.
Edge Vulnerability Teams tester bekräftar att "Super Duper Secure Mode" ofta har en negativ inverkan på surfhastigheten, särskilt sidladdningstider. Men för att vara rättvis är en genomsnittlig regression på 17 % i laddningstider inte så illa. Och i vissa fall hade inaktivering av JIT faktiskt en positiv inverkan på minne och energianvändning.
Microsofts "Super Duper Secure Mode" måste helt klart övervinna några tekniska hinder, men Edge-teamet klarar förmodligen uppgiften. Med tiden kan "Super Duper Secure Mode" bli standard för alla användare, eftersom dess säkerhetsfördelar är alldeles för svåra att ignorera. För att inte tala om, det kan minska frekvensen av säkerhetsuppdateringar, vilket är irriterande för både privatpersoner och företag.
Men "Super Duper Secure Mode" är bara en experimentell funktion för tillfället. De som vill testa det måste ladda ner den senaste Microsoft Edge-förhandsversionen (Beta, Dev eller Canary) och skriva edge://flags/#edge-enable-super-duper-secure-mode i adressfältet.
Källa: Microsoft via TechRadar