Microsoft Edge’i “Super Duper Secure Mode” keelab täiendava turvalisuse tagamiseks JavaScripti
Microsofti poolt välja töötatud Microsoft Edge on platvormideülene veebibrauser. See brauser ilmus esmakordselt Windows 10 ja Xbox One jaoks 2015. aastal, Androidile ja iOS -ile 2017. aastal, Macile 2019. aastal ning Linuxile 2020. aasta oktoobris .
See saavutas kiiresti populaarsuse ja asendas oma eelkäija Internet Explorer 11 opsüsteemides Windows 8.1, 2002 R2, Server 2016 ja Server 2019. Lisaks avaldas Microsoft plaani rekonstrueerida brauser Chromiumipõhiseks koos Blinki ja V8 mootoritega.
Täna teatas Microsoft, et kavatseb oma Edge'i veebibrauseris katse läbi viia. See katse keelab tahtlikult olulise jõudluse ja optimeerimise funktsiooni, et võimaldada Edge Super Duper Secure režiimis täiustatud turbeuuendusi .
Jonathan Norman, kes on Microsoft Edge'i haavatavuse uurimise juht, teatas täna, et "uue Super Duper Secure Mode'i idee on keelata JIT (just-In-Time) tugi V8, Edge'i brauseri JavaScripti mootoris."
Kuigi JIT on enamikule kasutajatele võõras, täidab veebibrauserites keskset rolli. JIT kasutab JavaScripti ja korraldab selle masinkoodiks. Kui brauser nõuab koodi, suurendab see oluliselt kiirust. Kui seda ei juhtu, visatakse kood ära .
JIT-i tugi V8-s on aga keeruline. Norman ütles, et JIT-iga seotud turbeprobleemid moodustasid ainuüksi 2019. aastal 45% kõigist V8 haavatavustest. Pealegi sõltuvad enam kui pooled Chrome'i " looduslikust " kasutusest JIT-iga seotud vigadest.
Norman lisab veel, et Microsoft Edge'i meeskonna hiljutised testid on näidanud, et vaatamata oma otsustavale rollile brauserite kiirendamisel ei ole JIT enam Edge'i jõudluse põhifunktsioon.
Super Duper Secure Mode keelab JIT-i, kuid lubab samal ajal kahte muud turvafunktsiooni, mida nimetatakse Control-flow-Enforcement Technology (CET) ja Arbitrary Code Guard (ACG) – kaks funktsiooni, mis on tavaliselt vastuolus V8 JIT-käivitamisega.
Super Duper Secure Mode on praegu märgistatud kui eksperiment ja praegu ei ole plaanis seda kasutajatele saata. See funktsioon on aga juba aktiivne ja testimiseks saadaval. Edge Canary, Dev ja Beta kasutajad saavad minna järgmisele aadressile ja lubada selle funktsiooni oma Edge'i brauseris:
Kuigi pole veel kindel, kas see tehnoloogia funktsioonina turule tuuakse, tasub Jonathan Normani sõnul siiski proovida. Kasutajad saavad seda tehnoloogiat testida ja jätta väärtuslikku tagasisidet Microsoft Edge Insideri arendusmeeskonnale .