Microsoft разработала для браузера Edge «супер-пупер безопасный режим»

Он жертвует быстродействием ради повышенной безопасности.

Разработчики Microsoft Edge, специализирующиеся кибербезопасности, рассказали о новом, экспериментальном режиме под весьма необычным названием — «Super Duper Secure Mode». Он усложняет злоумышленникам использование уязвимостей в браузере Microsoft путем отключения некоторых оптимизаций.

В «супер-пупер безопасном режиме» Microsoft Edge отключена функция движка JavaScript под названием Just-In-Time (JIT). Это технология увеличения производительности программных систем путем динамической компиляции байт-кода в машинный код или в другой формат. Она достаточно эффективна, но в то же время имеет чрезвычайно сложную техническую структуру — это чревато частыми ошибками и, следовательно, уязвимостями.

Microsoft ссылается на исследование Mozilla. Оно указывает, что с 2018 года более половины браузерных эксплойтов в той или иной степени были связаны с динамической компиляцией JIT.

Microsoft разработала для браузера Edge «супер-пупер безопасный режим»

О том, как устроена динамическая компиляция JIT в JavaScript, можно узнать из видео ниже:

Отказ от JIT позволил включить другие защитные механизмы — Controlflow-Enforcement Technology (CET) от Intel и Arbitrary Code Guard (ACG).

В официальном блоге говорится, что отключение JIT может привести к значительному снижению результатов тестов JavaScript. Но на практике пользователи едва ли заметят разницу, заверяют разработчики.

Обозреватель The Verge подтвердил, что не заметил существенного снижения быстродействия с режимом Super Duper Secure Mode. Но очевидно, что здесь все будет зависеть от сценариев использования и в более ресурсоемких веб-приложениях отключение JIT будет ощущаться сильнее. В будущем разработчики хотят сделать режим «умным» — система сможет самостоятельно оценивать риски и активировать режим только на подозрительных веб-сайтах.

Super Duper Secure Mode — экспериментальный режим, который все еще находится на очень ранней стадии. Желающие могут протестировать в версиях Canary, Dev и Beta — функция включается в служебном разделе настроек по адресу edge://flags. Когда планируется ее запуск, не уточняется. Разработчики предупредили, что на данный момент есть «довольно много технических сложностей», которые предстоит решить для широкого запуска. Но поскольку актуальный Edge основан на Chromium и использует тот же движок, что и Chrome, в будущем (в случае успеха), «супер-пупер безопасный режим» может появиться и в других браузерах. Но от шуточного названия в стиле Tesla, вероятно, придется отказаться. Как объяснил руководитель команды Джонатан Норман, отчасти потому, что объяснить юристам, насколько безопасно то, что описывается как «супер-надежный», будет очень непросто.

Источник: ITC.ua

Читайте также

Вверх