Microsoft testuje novú bezpečnostnú funkciu pre prehliadač Edge s názvom Super Duper Secure Mode. zakáže kompiláciu JIT v JavaScripte.
Áno, čítate ten nadpis správne. Microsoft testuje novú bezpečnostnú funkciu pre svoj prehliadač Edge a, aspoň zatiaľ, tzv Režim Super Duper Secure. Cieľom SDSM je zvýšiť bezpečnosť pri prehliadaní webu zakázaním kompilácie just-in-time (JIT) pre JavaScript. Existujú však aj ďalšie funkcie, ktoré sú súčasťou SDSM.
JavaScript je základnou súčasťou webu, no prináša aj svoj podiel problémov a za veľkú časť z nich je zodpovedný JIT engine. Podľa Pípajúci počítač, ktorý si pôvodne všimol informácie o SDSM, približne 45 % zraniteľností vo V8 JavaScript súvisí s JIT engine. Jonathan Norman z Microsoftu tiež poznamenáva, že zakázanie kompilácie JIT „zabije polovicu chýb“, ktoré môžu útočníci využiť na bezpečnostné exploity v JavaScripte. Navyše, pre zostávajúce exploity by táto menšia útočná plocha mala aspoň sťažiť vykonávanie útokov.
Samozrejme, ak by vypnutie kompilátora JIT predstavovalo všetky výhody, pravdepodobne by sa to už urobilo. Dôvod, prečo existuje kompilácia JIT, je ten, že má výrazne zlepšiť výkon v JavaScripte. Výskumný tím spoločnosti Microsoft však tvrdí, že pri deaktivácii tejto funkcie v skutočnosti nezaznamenal výrazný pokles výkonu. V stovkách testov, ktoré spoločnosť Microsoft vykonala, iba menej ako desať vykázalo pokles výkonu, keď je kompilácia JIT zakázaná. V niektorých prípadoch sa výkon dokonca zlepšil. Avšak v testoch, kde došlo k regresii výkonu, boli dosť významné. Napriek tomu sa zdá, že režim Super Duper Secure od Edge je dosť presvedčivý.
Ale to nie je všetko. Podľa Microsoftu ponechanie zapnutého JIT znemožňuje implementáciu ďalších funkcií, ktoré môžu pomôcť bezpečnosti. Napríklad technológia Intel Controlflow-Enforcement Technology (CET), hardvérová ochrana proti zneužitiu, musí byť vypnutá. S režimom Super Duper Secure v Edge spoločnosť Microsoft nielen deaktivuje kompilátor JIT, ale tiež povolí CEF pre vyššiu bezpečnosť. Microsoft tiež plánuje v budúcnosti povoliť Arbitrary Code Guard (ACG) – ďalšia vec, ktorá nebola možná s povoleným kompilátorom JIT.
Microsoft je celkom jasný, že ide len o test, takže nečakajte, že sa z toho v blízkej dobe stane funkcia. Ak vás však nápad zaujal, môžete ho vyskúšať. SDSM môžete povoliť v Edge Beta, Dev alebo Canary tak, že prejdete na edge://flags. Príslušná vlajka sa jednoducho nazýva Režim Super Duper Secure.