Microsoft разработала для браузера Edge «супер-пупер безопасный режим»
Он жертвует быстродействием ради повышенной безопасности.
Разработчики Microsoft Edge, специализирующиеся кибербезопасности, рассказали о новом, экспериментальном режиме под весьма необычным названием - «Super Duper Secure Mode». Он усложняет злоумышленникам использование уязвимостей в браузере Microsoft путем отключения некоторых оптимизаций.
В «супер-пупер безопасном режиме» Microsoft Edge отключена функция движка JavaScript под названием Just-In-Time (JIT). Это технология увеличения производительности программных систем путем динамической компиляции байт-кода в машинный код или в другой формат. Она достаточно эффективна, но в то же время имеет чрезвычайно сложную техническую структуру - это чревато частыми ошибками и, следовательно, уязвимостями.
Microsoft ссылается на исследование Mozilla. Оно указывает, что с 2018 года более половины браузерных эксплойтов в той или иной степени были связаны с динамической компиляцией JIT.
О том, как устроена динамическая компиляция JIT в JavaScript, можно узнать из видео ниже:
Отказ от JIT позволил включить другие защитные механизмы - Controlflow-Enforcement Technology (CET) от Intel и Arbitrary Code Guard (ACG).
В официальном блоге говорится, что отключение JIT может привести к значительному снижению результатов тестов JavaScript. Но на практике пользователи едва ли заметят разницу, заверяют разработчики.
Обозреватель The Verge подтвердил, что не заметил существенного снижения быстродействия с режимом Super Duper Secure Mode. Но очевидно, что здесь все будет зависеть от сценариев использования и в более ресурсоемких веб-приложениях отключение JIT будет ощущаться сильнее. В будущем разработчики хотят сделать режим «умным» - система сможет самостоятельно оценивать риски и активировать режим только на подозрительных веб-сайтах.
Super Duper Secure Mode - экспериментальный режим, который все еще находится на очень ранней стадии. Желающие могут протестировать в версиях Canary, Dev и Beta - функция включается в служебном разделе настроек по адресу edge://flags. Когда планируется ее запуск, не уточняется. Разработчики предупредили, что на данный момент есть «довольно много технических сложностей», которые предстоит решить для широкого запуска. Но поскольку актуальный Edge основан на Chromium и использует тот же движок, что и Chrome, в будущем (в случае успеха), «супер-пупер безопасный режим» может появиться и в других браузерах. Но от шуточного названия в стиле Tesla, вероятно, придется отказаться. Как объяснил руководитель команды Джонатан Норман, отчасти потому, что объяснить юристам, насколько безопасно то, что описывается как «супер-надежный», будет очень непросто.