Wer braucht den neuen „Super Duper Secure“-Modus von Microsoft Edge?
Das Edge Vulnerability Team von Microsoft experimentiert mit einem neuen „ Super Duper Secure Mode “, der gegen standardmäßige Browserpraktiken verstößt, um die Websicherheit erheblich zu verbessern. Und obwohl dieser neue „Secure Mode” wie eine Funktion für übermäßig besorgte IT-Abteilungen klingen mag, könnte er eine sein Tag wird zur Standardeinstellung für alle Edge-Benutzer. Wie funktioniert es also?
Nun, die Software hinter Super Duper Secure Mode ist ein bisschen kompliziert (selbst für Webentwickler), aber das Gesamtkonzept ist ziemlich einfach zu verstehen; Der geschwindigkeitssteigernde JIT-Compiler der V8-JavaScript-Engine ist ein Sicherheitsalptraum und muss deaktiviert werden.
Die V8-JavaScript-Engine ist seit langem ein beliebtes Ziel für Hacker, da sie sehr fehlerhaft und einfach auszunutzen ist und einen wunderbaren Einstiegspunkt in ein Betriebssystem bietet. Der 2008 eingeführte JIT- (oder Just-In-Time-) Compiler erhöht die JavaScript-Leistung auf Kosten der Sicherheit, bis zu dem Punkt, dass 45 % der identifizierten V8-Schwachstellen mit JIT zusammenhängen.
Darüber hinaus hindert der JIT-Compiler Browserentwickler daran, leistungsstarke Sicherheitsprotokolle wie Intels Controlflow-Enforcement Technology (CET) und Microsofts Arbitrary Code Guard (ACG) zu aktivieren. Die Vorteile der Deaktivierung von JIT sind verblüffend – laut dem Edge Vulnerability Team erschwert dies das Ausnutzen aller Browser-Schwachstellen für Hacker.
Diese Verringerung der Angriffsfläche tötet die Hälfte der Fehler, die wir in Exploits sehen, und jeder verbleibende Fehler wird schwieriger auszunutzen. Anders ausgedrückt: Wir senken die Kosten für die Benutzer, erhöhen aber die Kosten für die Angreifer.
Aber es gibt einen Grund, warum dieses Schema gegen die gängige Praxis verstößt. Das Deaktivieren von JIT verringert die Browserleistung, insbesondere auf Webseiten, die stark auf JavaScript angewiesen sind, wie z. B. YouTube. Obwohl das Edge Vulnerability Team berichtet, dass „Benutzer mit deaktiviertem JIT selten einen Unterschied beim täglichen Surfen bemerken”, gibt es sicherlich einen Unterschied, der bei vielen Empörung hervorrufen würde.
Die Tests des Edge Vulnerability Teams bestätigen, dass der „Super Duper Secure Mode” oft negative Auswirkungen auf die Surfgeschwindigkeit hat, insbesondere auf die Ladezeiten von Seiten. Aber um fair zu sein, eine durchschnittliche Regression der Ladezeiten um 17 % ist gar nicht so schlecht. Und in einigen Fällen wirkte sich das Deaktivieren von JIT tatsächlich positiv auf den Speicher- und Stromverbrauch aus.
Microsofts „Super Duper Secure Mode” muss eindeutig einige technische Hürden überwinden, aber das Edge-Team ist der Aufgabe wahrscheinlich gewachsen. Mit der Zeit könnte der „Super Duper Secure Mode” zum Standard für alle Benutzer werden, da seine Sicherheitsvorteile einfach zu schwer zu ignorieren sind. Ganz zu schweigen davon, dass es die Häufigkeit von Sicherheitsupdates verringern könnte, die sowohl für Einzelpersonen als auch für Unternehmen ärgerlich sind.
Aber „Super Duper Secure Mode” ist vorerst nur eine experimentelle Funktion. Diejenigen, die es testen möchten, müssen die neueste Vorschauversion von Microsoft Edge (Beta, Dev oder Canary) herunterladen und edge://flags/#edge-enable-super-duper-secure-mode in ihre Adressleiste eingeben.
Quelle: Microsoft über TechRadar