Кому потрібен новий режим «Super Duper Secure» від Microsoft Edge?
Команда Microsoft Edge Vulnerability Team експериментує з новим «Super Duper Secure Mode », який суперечить стандартним практикам браузера, щоб значно підвищити веб-безпеку. І хоча цей новий «Захищений режим» може здатися функцією для надмірно стурбованих ІТ-відділів, він може day стає налаштуванням за замовчуванням для всіх користувачів Edge. Отже, як це працює?
Ну, програмне забезпечення, яке стоїть за безпечним режимом Super Duper, дещо складне (навіть для веб-розробників), але загальну концепцію досить легко зрозуміти; компілятор JIT, що підвищує швидкість роботи двигуна JavaScript V8, є кошмаром безпеки, і його потрібно вимкнути.
Движок JavaScript V8 вже давно є улюбленою мішенню для хакерів, оскільки він дуже глюковий, простий у використанні та забезпечує чудову точку входу в операційну систему. Компілятор JIT (або Just-In-Time), представлений у 2008 році, підвищує продуктивність JavaScript за рахунок безпеки до такої міри, що 45% виявлених уразливостей V8 пов’язані з JIT.
Мало того, компілятор JIT не дозволяє розробникам браузерів увімкнути потужні протоколи безпеки, такі як технологія Intel Controlflow-Enforcement (CET) і Arbitrary Code Guard (ACG) від Microsoft. Переваги відключення JIT приголомшливі — за даними команди Edge Vulnerability Team, це ускладнює використання всіх уразливостей браузера для хакерів.
Таке зменшення поверхні атаки знищує половину помилок, які ми бачимо в експлойтах, і кожен баг, що залишився, стає важче використовувати. Іншими словами, ми знижуємо витрати для користувачів, але збільшуємо витрати для зловмисників.
Але є причина, чому ця схема суперечить загальноприйнятій практиці. Вимкнення JIT знижує продуктивність веб-переглядача, особливо на веб-сторінках, які значною мірою залежать від JavaScript, як-от YouTube. Хоча команда Edge Vulnerability повідомляє, що «користувачі з відключеним JIT рідко помічають різницю в щоденному перегляді», різниця, безсумнівно, існує і може викликати обурення у багатьох.
Тести Edge Vulnerability Team підтверджують, що «Super Duper Secure Mode» часто негативно впливає на швидкість перегляду, особливо на час завантаження сторінки. Але чесно кажучи, середня регресія часу завантаження на 17% не така вже й погана. А в деяких випадках відключення JIT справді позитивно вплинуло на пам’ять та споживання енергії.
«Super Duper Secure Mode» від Microsoft, безсумнівно, має подолати деякі технічні перешкоди, але команда Edge, ймовірно, впорається з цим завданням. З часом «Super Duper Secure Mode» може стати стандартним для всіх користувачів, оскільки його переваги безпеки надто важко ігнорувати. Не кажучи вже про те, що це може зменшити частоту оновлень безпеки, які дратують як окремих осіб, так і компанії.
Але «Super Duper Secure Mode» поки що є лише експериментальною функцією. Ті, хто хоче протестувати його, повинні завантажити останню версію попереднього перегляду Microsoft Edge (бета-версія, розробник або Canary) і ввести edge://flags/#edge-enable-super-duper-secure-mode в адресному рядку.
Джерело: Microsoft через TechRadar