Microsoft test een nieuwe beveiligingsfunctie voor de Edge-browser, genaamd Super Duper Secure Mode. het schakelt JIT-compilatie in JavaScript uit.
Ja, je leest die titel goed. Microsoft test een nieuwe beveiligingsfunctie voor zijn Edge-browser en heet deze, althans voorlopig, Super Duper veilige modus. Het doel van SDSM is om de veiligheid tijdens het surfen op internet te vergroten door just-in-time (JIT)-compilatie voor JavaScript uit te schakelen. Er zijn echter nog andere functies die deel uitmaken van SDSM.
JavaScript is een fundamenteel onderdeel van het web, maar brengt ook zijn eigen problemen met zich mee, en de JIT-engine is verantwoordelijk voor een groot deel daarvan. Volgens Piepende computer, die aanvankelijk informatie over SDSM opmerkte, houdt ongeveer 45% van de kwetsbaarheden in V8 JavaScript verband met de JIT-engine. Jonathan Norman van Microsoft merkt ook op dat het uitschakelen van JIT-compilatie "de helft van de bugs doodt" die aanvallers kunnen gebruiken voor beveiligingslekken in JavaScript. Bovendien zou dit kleinere aanvalsoppervlak het voor de resterende exploits op zijn minst moeilijker moeten maken om aanvallen uit te voeren.
Als het uitschakelen van de JIT-compiler allemaal voordelen zou opleveren, zou dit natuurlijk al gedaan zijn. De reden dat JIT-compilatie bestaat, is dat het de prestaties in JavaScript aanzienlijk zou moeten verbeteren. Het Microsoft-onderzoeksteam zegt echter dat het geen noemenswaardige prestatieproblemen heeft ondervonden bij het uitschakelen van deze functie. In de honderden tests die Microsoft heeft uitgevoerd, lieten slechts minder dan tien een prestatiedaling zien wanneer JIT-compilatie is uitgeschakeld. In sommige gevallen verbeterden de prestaties zelfs. In de tests waarbij prestatieregressies plaatsvonden, waren deze echter behoorlijk significant. Toch lijkt Edge’s Super Duper Secure Mode redelijk overtuigend.
Maar dat is niet alles. Volgens Microsoft maakt het ingeschakeld laten van JIT het onmogelijk om andere functies te implementeren die de beveiliging kunnen bevorderen. Intel's Controlflow-Enforcement Technology (CET), een op hardware gebaseerde beperking van exploits, moet bijvoorbeeld worden uitgeschakeld. Met Super Duper Secure Mode in Edge schakelt Microsoft niet alleen de JIT-compiler uit, maar schakelt ook CEF in voor extra beveiliging. Microsoft is ook van plan om in de toekomst Arbitrary Code Guard (ACG) in te schakelen - nog iets dat niet haalbaar was als de JIT-compiler was ingeschakeld.
Microsoft is vrij duidelijk dat dit slechts een test is, dus verwacht niet dat dit binnenkort een functie zal worden. Als je het idee echter interessant vindt, kun je het proberen. U kunt SDSM inschakelen in Edge Beta, Dev of Canary door naar te gaan rand://vlaggen. De betreffende vlag wordt eenvoudigweg genoemd Super Duper veilige modus.