Microsoft testē jaunu drošības līdzekli pārlūkprogrammai Edge, ko sauc par Super Duper Secure Mode. tas atspējo JIT kompilāciju JavaScript.
Jā, jūs pareizi izlasījāt šo virsrakstu. Microsoft testē jaunu drošības līdzekli savam Edge pārlūkam un vismaz pagaidām to sauc Super Duper drošais režīms. SDSM mērķis ir palielināt drošību tīmekļa pārlūkošanas laikā, atspējojot JavaScript kompilāciju tieši laikā (JIT). Tomēr ir arī citas funkcijas, kas ir daļa no SDSM.
JavaScript ir būtiska tīmekļa sastāvdaļa, taču tā rada arī savu daļu problēmu, un JIT dzinējs ir atbildīgs par lielu daļu no tām. Saskaņā ar Pīkstošs dators, kurā sākotnēji tika atrasta informācija par SDSM, aptuveni 45% no JavaScript V8 ievainojamībām ir saistītas ar JIT dzinēju. Microsoft Džonatans Normans arī atzīmē, ka JIT kompilācijas atspējošana "iznīcina pusi no kļūdām", kuras uzbrucēji var izmantot JavaScript drošības darbībām. Turklāt attiecībā uz atlikušajiem varoņdarbiem šai mazākajai uzbrukuma virsmai vajadzētu vismaz apgrūtināt uzbrukumu veikšanu.
Protams, ja JIT kompilatora atspējošana būtu ieguvums, tas, iespējams, jau būtu izdarīts. JIT kompilācijas iemesls ir tas, ka tai ir būtiski jāuzlabo JavaScript veiktspēja. Tomēr Microsoft pētnieku komanda saka, ka, atspējojot šo funkciju, tā faktiski nav pamanījusi būtisku veiktspējas kritumu. Simtiem Microsoft veikto testu laikā tikai mazāk nekā desmit uzrādīja veiktspējas samazināšanos, kad JIT kompilācija ir atspējota. Dažos gadījumos veiktspēja pat uzlabojās. Tomēr testos, kur bija veiktspējas regresijas, tās bija diezgan nozīmīgas. Tomēr tas padara Edge Super Duper Secure režīmu diezgan pārliecinošu.
Bet tas vēl nav viss. Saskaņā ar Microsoft teikto, atstājot JIT iespējotu, nav iespējams ieviest citus līdzekļus, kas var palīdzēt drošībai. Piemēram, Intel Controlflow-Enforcement Technology (CET), kas ir uz aparatūru balstīta izmantošanas mazināšana, ir jāatspējo. Izmantojot Super Duper Secure Mode Edge, Microsoft ne tikai atspējo JIT kompilatoru, bet arī iespējo CEF papildu drošībai. Microsoft arī plāno nākotnē iespējot patvaļīgo kodu apsardzi (ACG) — vēl viena lieta, kas nebija iespējama ar iespējotu JIT kompilatoru.
Microsoft ir diezgan skaidrs, ka tas ir tikai tests, tāpēc negaidiet, ka šī funkcija drīzumā kļūs par līdzekli. Tomēr, ja ideja jums šķiet interesanta, varat to izmēģināt. Varat iespējot SDSM programmā Edge Beta, Dev vai Canary, dodoties uz mala: // karogi. Attiecīgo karogu vienkārši sauc Super Duper drošais režīms.