La “Modalità Super Duper Secure” di Microsoft Edge disabilita JavaScript per una maggiore sicurezza
Sviluppato da Microsoft, Microsoft Edge è un browser Web multipiattaforma . Questo browser è stato rilasciato per la prima volta per Windows 10 e Xbox One nel 2015, Android e iOS nel 2017, Mac nel 2019 e Linux nell'ottobre 2020.
Ha rapidamente guadagnato popolarità e ha sostituito il suo predecessore, " Internet Explorer 11 ", su Windows 8.1, 2002 R2, Server 2016 e Server 2019. Inoltre, Microsoft ha pubblicato piani per ricostruire il browser come basato su Chromium con motori Blink e V8.
Oggi Microsoft ha annunciato che eseguirà un esperimento nel suo browser Web Edge. Questo esperimento disabilita intenzionalmente un'importante funzione di ottimizzazione e prestazioni per consentire aggiornamenti di sicurezza più avanzati nella modalità Edge Super Duper Secure.
Jonathan Norman, che è il responsabile della ricerca sulle vulnerabilità di Microsoft Edge, ha annunciato oggi che "l'idea alla base della nuova modalità protetta Super Duper è disabilitare il supporto per JIT (Just-In-Time) all'interno di V8, il motore JavaScript del browser Edge".
JIT, sebbene sconosciuto alla maggior parte degli utenti, svolge un ruolo fondamentale nei browser Web. JIT opera prendendo JavaScript e organizzandolo in codice macchina. Se il browser richiede il codice, ottiene un aumento di velocità vitale. In caso contrario, il codice viene quindi scartato.
Tuttavia, il supporto JIT in V8 è complicato. Norman ha affermato che i problemi di sicurezza relativi a JIT hanno rappresentato il 45% di tutte le vulnerabilità V8 nel solo 2019. Inoltre, più della metà degli exploit di Chrome " in the wild " dipendono da bug relativi a JIT.
Norman aggiunge inoltre che i recenti test effettuati dal team di Microsoft Edge hanno rivelato che, nonostante il suo ruolo cruciale nell'accelerare i browser, JIT non è più una caratteristica fondamentale per le prestazioni di Edge.
La modalità Super Duper Secure disabilita JIT ma allo stesso tempo abilita altre due funzionalità di sicurezza chiamate Control-flow-Enforcement Technology (CET) e Arbitrary Code Guard (ACG), due funzionalità che normalmente si scontrano con l'esecuzione JIT di V8.
La modalità Super Duper Secure è attualmente etichettata come un esperimento e non ci sono ancora piani per spedirla agli utenti. Tuttavia, questa funzione è già attiva e disponibile per il test. Gli utenti di Edge Canary, Dev e Beta possono accedere al seguente indirizzo e abilitare questa funzione nei loro browser Edge:
Anche se è ancora incerto se questa tecnologia verrà lanciata come funzionalità, vale comunque la pena provare, secondo Jonathan Norman. Gli utenti possono anche testare questa tecnologia e lasciare un prezioso feedback per il team di sviluppo di Microsoft Edge Insider.