Microsoft розробила для браузера Edge «супер-пупер безпечний режим»
Він жертвує швидкодією заради підвищеної безпеки.
Розробники Microsoft Edge, що спеціалізуються на кібербезпеці, розповіли про новий, експериментальний режим під вельми незвичною назвою — «Super Duper Secure Mode». Він ускладнює зловмисникам використання вразливостей в браузері Microsoft шляхом відключення деяких оптимізацій.
У «супер-пупер безпечному режимі» Microsoft Edge відключена функція JavaScript під назвою Just-In-Time (JIT). Це технологія збільшення продуктивності програмних систем шляхом динамічної компіляції байт-коду в машинний код або в інший формат. Вона досить ефективна, але в той же час має надзвичайно складну технічну структуру — це загрожує частими помилками й, отже, вразливостями.
Microsoft посилається на дослідження Mozilla. Воно вказує, що з 2018 року більш ніж половина браузерних експлойтів так чи інакше були пов’язані з динамічною компіляцією JIT.
Про те, як влаштована динамічна компіляція JIT в JavaScript, можна дізнатися з відео нижче:
Відмова від JIT дозволило увімкнути інші захисні механізми — Controlflow-Enforcement Technology (CET) від Intel та Arbitrary Code Guard (ACG).
В офіційному блозі йдеться, що відключення JIT може привести до значного зниження результатів тестів JavaScript. Але на практиці користувачі навряд чи помітять різницю, запевняють розробники.
Оглядач The Verge підтвердив, що не помітив істотного зниження швидкодії з режимом Super Duper Secure Mode. Але очевидно, що тут все буде залежати від сценаріїв використання і в більш ресурсомістких веб-додатках відключення JIT буде відчуватися сильніше. У майбутньому розробники хочуть зробити режим «розумним» — система зможе самостійно оцінювати ризики та активувати режим тільки на підозрілих веб-сайтах.
Super Duper Secure Mode — експериментальний режим, який все ще перебуває на дуже ранній стадії. Бажаючі можуть протестувати у версіях Canary, Dev та Beta — функція включається в службовому розділі налаштувань за адресою edge://flags. Коли планується її запуск, не уточнюється. Розробники попередили, що на цей час є «досить багато технічних складнощів», які треба розв’язувати для широкого запуску. Але оскільки актуальний Edge заснований на Chromium і використовує те ж ядро, що і Chrome, в майбутньому (в разі успіху), «супер-пупер безпечний режим» може з’явитися і в інших браузерах. Але від жартівливої назви в стилі Tesla, ймовірно, доведеться відмовитися. Як пояснив керівник команди Джонатан Норман, тому, що пояснити юристам, наскільки безпечно те, що описується як «супер-надійний», буде дуже непросто.
