«Супер-пупер-безопасный режим» Microsoft Edge отключает JavaScript для дополнительной безопасности
Microsoft Edge — это кроссплатформенный веб-браузер, разработанный Microsoft. Этот браузер был впервые выпущен для Windows 10 и Xbox One в 2015 году, Android и iOS в 2017 году, Mac в 2019 году и Linux в октябре 2020 года.
Он быстро завоевал популярность и заменил своего предшественника «Internet Explorer 11» в Windows 8.1, 2002 R2, Server 2016 и Server 2019. Кроме того, Microsoft опубликовала планы реконструкции браузера как основанного на Chromium с движками Blink и V8.
Сегодня Microsoft объявила, что собирается провести эксперимент в своем веб-браузере Edge. Этот эксперимент намеренно отключает важную функцию повышения производительности и оптимизации, чтобы обеспечить более продвинутые обновления безопасности в Edge Super Duper Secure Mode.
Джонатан Норман, руководитель отдела исследования уязвимостей Microsoft Edge, объявил сегодня, что «идея нового режима Super Duper Secure Mode заключается в отключении поддержки JIT (Just-In-Time) внутри V8, движка JavaScript браузера Edge».
JIT, хотя и не знаком большинству пользователей, играет ключевую роль в веб-браузерах. JIT работает, беря JavaScript и организуя его в машинный код. Если браузеру требуется код, он получает существенное ускорение. Если это не так, код удаляется.
Однако поддержка JIT в V8 сложна. Норман сказал, что только в 2019 году проблемы безопасности, связанные с JIT, составили 45% всех уязвимостей V8. Кроме того, более половины «диких» эксплойтов Chrome зависят от ошибок, связанных с JIT.
Норман также добавляет, что недавние тесты, проведенные командой Microsoft Edge, показали, что, несмотря на его решающую роль в ускорении работы браузеров, JIT больше не является фундаментальной функцией для производительности Edge.
Режим Super Duper Secure Mode отключает JIT, но в то же время включает две другие функции безопасности, называемые технологией контроля потока (CET) и защитой от произвольного кода (ACG) — две функции, которые обычно конфликтуют с JIT-выполнением V8.
Super Duper Secure Mode в настоящее время помечен как экспериментальный, и пока не планируется предоставлять его пользователям. Однако эта функция уже работает и доступна для тестирования. Пользователи Edge Canary, Dev и Beta могут перейти по следующему адресу и включить эту функцию в своих браузерах Edge:
Хотя до сих пор неясно, будет ли эта технология запущена как функция, по словам Джонатана Нормана, попробовать все же стоит. Пользователи также могут протестировать эту технологию и оставить ценный отзыв команде разработчиков на Microsoft Edge Insider.