מיקרוסופט בוחנת תכונת אבטחה חדשה עבור דפדפן Edge, הנקראת Super Duper Secure Mode. זה משבית את הידור JIT ב-JavaScript.
כן, קראת נכון את הכותרת. מיקרוסופט בוחנת תכונת אבטחה חדשה עבור דפדפן ה-Edge שלה, ולפחות לעת עתה, היא נקראת Super Duper Secure Mode. המטרה של SDSM היא להגביר את האבטחה בזמן הגלישה באינטרנט על ידי השבתת קומפילציה בדיוק בזמן (JIT) עבור JavaScript. עם זאת, ישנן תכונות אחרות שהן חלק מ-SDSM.
JavaScript הוא חלק מהותי מהרשת, אבל הוא גם מביא לחלק משלו בבעיות, ומנוע ה-JIT אחראי לחלק ניכר מהן. לפי מחשב מצמרר, שזיהתה בתחילה מידע על SDSM, בערך 45% מהפגיעויות ב-V8 JavaScript קשורות למנוע JIT. ג'ונתן נורמן ממיקרוסופט מציין גם כי השבתת הידור JIT "הורגת חצי מהבאגים" שתוקפים יכולים למנף לניצול אבטחה ב-JavaScript. בנוסף, עבור הניצול שנותר, משטח ההתקפה הקטן יותר הזה אמור לפחות להקשות על ביצוע התקפות.
כמובן, אם השבתת מהדר JIT הייתה כל היתרונות, כנראה שזה היה נעשה כבר. הסיבה לקיומה של קומפילציה של JIT היא שהיא אמורה לשפר משמעותית את הביצועים ב-JavaScript. עם זאת, צוות המחקר של מיקרוסופט אומר שהוא לא ממש ראה פגיעה משמעותית בביצועים בעת השבתת התכונה הזו. במאות הבדיקות שהריצה מיקרוסופט, רק פחות מעשר הראו ירידה בביצועים כאשר הידור JIT מושבת. במקרים מסוימים, הביצועים אפילו השתפרו. עם זאת, במבחנים שבהם היו רגרסיות ביצועים, הן היו די משמעותיות. ובכל זאת, זה גורם ל-Super Duper Secure Mode של Edge להיראות משכנע למדי.
אבל זה לא כל מה שיש בזה. לדברי מיקרוסופט, השארת JIT מופעלת לא מאפשרת ליישם תכונות אחרות שיכולות לסייע באבטחה. לדוגמה, יש להשבית את טכנולוגיית Controlflow-Enforcement (CET) של אינטל (Controlflow-Enforcement Technology), אמצעי למניעת ניצול מבוסס חומרה. עם Super Duper Secure Mode ב-Edge, מיקרוסופט לא רק משביתה את מהדר JIT, אלא גם מאפשרת CEF לאבטחה נוספת. מיקרוסופט גם מתכננת לאפשר את משמר הקוד השרירותי (ACG) בעתיד - דבר נוסף שלא היה אפשרי עם מהדר JIT מופעל.
למיקרוסופט די ברור שזה רק מבחן, אז אל תצפה שזה יהפוך לתכונה בקרוב. עם זאת, אם אתה מוצא את הרעיון מעניין, אתה יכול לנסות. אתה יכול להפעיל SDSM ב-Edge Beta, Dev או Canary על ידי מעבר אל edge://flags. הדגל המתאים נקרא פשוט Super Duper Secure Mode.