Microsoft testuje novou bezpečnostní funkci pro prohlížeč Edge, nazvanou Super Duper Secure Mode. zakáže kompilaci JIT v JavaScriptu.
Ano, čtete ten nadpis správně. Microsoft testuje novou bezpečnostní funkci pro svůj prohlížeč Edge a alespoň prozatím se jmenuje Režim Super Duper Secure. Cílem SDSM je zvýšit bezpečnost při procházení webu zakázáním kompilace just-in-time (JIT) pro JavaScript. Existují však další funkce, které jsou součástí SDSM.
JavaScript je základní součástí webu, ale přináší také svůj vlastní podíl problémů a za velkou část z nich je zodpovědný engine JIT. Podle Pípavý počítač, která zpočátku zaznamenala informace o SDSM, zhruba 45 % zranitelností v JavaScriptu V8 souvisí s jádrem JIT. Jonathan Norman z Microsoftu také poznamenává, že deaktivace kompilace JIT „zabije polovinu chyb“, které mohou útočníci využít pro bezpečnostní exploity v JavaScriptu. Navíc u zbývajících exploitů by tato menší útočná plocha měla přinejmenším ztížit provádění útoků.
Samozřejmě, pokud by deaktivace kompilátoru JIT představovala všechny výhody, pravděpodobně by to již bylo provedeno. Důvod, proč existuje kompilace JIT, je ten, že má výrazně zlepšit výkon v JavaScriptu. Výzkumný tým společnosti Microsoft však tvrdí, že při deaktivaci této funkce nedošlo k výraznému snížení výkonu. Ve stovkách testů, které Microsoft provedl, pouze necelých deset vykázalo pokles výkonu, když je kompilace JIT zakázána. V některých případech se výkon dokonce zlepšil. V testech, kde docházelo k regresím výkonu, však byly poměrně významné. Přesto se zdá, že režim Super Duper Secure od Edge je docela přesvědčivý.
Ale to není všechno. Podle Microsoftu, ponechání JIT povolené znemožňuje implementaci dalších funkcí, které mohou pomoci zabezpečení. Například technologie Intel Controlflow-Enforcement Technology (CET), hardwarová ochrana proti zneužití, musí být deaktivována. S režimem Super Duper Secure v Edge Microsoft nejen deaktivuje kompilátor JIT, ale také aktivuje CEF pro extra zabezpečení. Microsoft také plánuje v budoucnu povolit Arbitrary Code Guard (ACG) - další věc, která nebyla proveditelná s aktivovaným kompilátorem JIT.
Microsoft je celkem jasné, že se jedná pouze o test, takže neočekávejte, že se z toho v dohledné době stane funkce. Pokud vás však nápad zaujme, můžete to zkusit. SDSM můžete povolit v Edge Beta, Dev nebo Canary tak, že přejdete na edge:// flags. Příslušný příznak se jednoduše nazývá Režim Super Duper Secure.