Microsoft testet eine neue Sicherheitsfunktion für den Edge-Browser, den Super Duper Secure Mode. Es deaktiviert die JIT-Kompilierung in JavaScript.
Ja, Sie haben den Titel richtig gelesen. Microsoft testet eine neue Sicherheitsfunktion für seinen Edge-Browser und trägt zumindest vorerst den Namen Super Duper Secure-Modus. Das Ziel von SDSM besteht darin, die Sicherheit beim Surfen im Internet zu erhöhen, indem die Just-in-Time-Kompilierung (JIT) für JavaScript deaktiviert wird. Es gibt jedoch noch andere Funktionen, die Teil von SDSM sind.
JavaScript ist ein grundlegender Bestandteil des Webs, bringt aber auch eigene Probleme mit sich, und die JIT-Engine ist für einen Großteil davon verantwortlich. Entsprechend Piepender Computer, das zunächst Informationen zu SDSM entdeckte, hängen etwa 45 % der Schwachstellen in V8-JavaScript mit der JIT-Engine zusammen. Jonathan Norman von Microsoft weist außerdem darauf hin, dass die Deaktivierung der JIT-Kompilierung „die Hälfte der Fehler beseitigt“, die Angreifer für Sicherheitslücken in JavaScript ausnutzen können. Darüber hinaus sollte diese kleinere Angriffsfläche für die verbleibenden Exploits die Durchführung von Angriffen zumindest erschweren.
Wenn das Deaktivieren des JIT-Compilers natürlich alle Vorteile hätte, wäre dies wahrscheinlich bereits geschehen. Der Grund für die JIT-Kompilierung besteht darin, dass sie die Leistung in JavaScript erheblich verbessern soll. Das Microsoft-Forschungsteam gibt jedoch an, dass es bei der Deaktivierung dieser Funktion keinen nennenswerten Leistungseinbruch gegeben habe. In den Hunderten von Microsoft durchgeführten Tests zeigten nur weniger als zehn einen Leistungsabfall, wenn die JIT-Kompilierung deaktiviert ist. In einigen Fällen verbesserte sich die Leistung sogar. In den Tests, in denen es zu Leistungsrückgängen kam, waren diese jedoch recht erheblich. Dennoch erscheint der Super Duper Secure Mode von Edge dadurch recht überzeugend.
Aber das ist noch nicht alles. Laut Microsoft ist es unmöglich, andere Funktionen zu implementieren, die der Sicherheit dienen könnten, wenn JIT aktiviert bleibt. Beispielsweise muss Intels Controlflow-Enforcement Technology (CET), eine hardwarebasierte Exploit-Abwehr, deaktiviert werden. Mit dem Super Duper Secure Mode in Edge deaktiviert Microsoft nicht nur den JIT-Compiler, sondern aktiviert auch CEF für zusätzliche Sicherheit. Microsoft plant außerdem, in Zukunft Arbitrary Code Guard (ACG) zu aktivieren – eine weitere Sache, die mit aktiviertem JIT-Compiler nicht möglich war.
Microsoft macht ziemlich deutlich, dass es sich hierbei nur um einen Test handelt. Erwarten Sie also nicht, dass dies in absehbarer Zeit zu einem Feature wird. Wenn Sie die Idee jedoch interessant finden, können Sie es versuchen. Sie können SDSM in Edge Beta, Dev oder Canary aktivieren, indem Sie auf gehen Edge://Flags. Es wird einfach das jeweilige Flag aufgerufen Super Duper Secure-Modus.