Microsofts onderzoeksteam voor browserkwetsbaarheid werkt aan een modus om de Edge-browser veiliger te maken, en heeft deze een ongelooflijke naam gegeven: “Super Duper Secure Mode” (via The Record). De modus is momenteel erg experimenteel, maar kan het voor aanvallers moeilijker maken om bugs in de browser van Microsoft te misbruiken door bepaalde optimalisaties uit te schakelen.
Om de browser “super duper veilig” te maken, schakelt de modus een functie van Edge's JavaScript-engine uit die bedoeld is om de code van een website sneller te laten werken. De technologie wordt Just-In-Time-compilatie (of JIT) genoemd en hoewel het de prestaties kan helpen verbeteren, is het ook duivels complex. Dit maakt het gemakkelijk voor bugs om binnen te glippen, wat kan leiden tot beveiligingsaanvallen — Microsoft wijst op analyse door Mozilla waaruit bleek dat meer dan de helft van de echte Chrome-exploits sinds 2018 gerelateerd waren aan JIT.
(Als je enige programmeerkennis hebt, biedt deze video een interessant overzicht van hoe Just-In-Time werkt voor JavaScript.)
Natuurlijk zijn er zorgen dat het uitschakelen van technologie die bedoeld is om een groot deel van moderne websites sneller te laten werken, de prestaties zou kunnen schaden. De blogpost merkt op dat het uitschakelen van JIT kan leiden tot aanzienlijk lagere JavaScript-benchmarkscores, maar het team zegt dat mensen in de echte wereld meestal niet veel verschil merkten.
Ik kan dat in ieder geval enigszins ondersteunen – ik heb de Super Duper Secure-modus voor mezelf ingeschakeld (als je een testversie van Edge gebruikt, kun je de modus inschakelen met een vlag), en heb geen sites opgemerkt die bijzonder traag zijn . Natuurlijk is het webgebruik voor iedereen anders, dus het is mogelijk dat u een verschil merkt als u uw dagen doorbrengt in complexe webapps. Het Microsoft-team merkt echter op dat het onderzoekt om de modus slim te maken door beveiligingen in en uit te schakelen op basis van het risico dat een website kan opleveren, of hoe arbeidsintensief deze kan zijn.
De experimentele modus lijkt zich nog in de beginfase te bevinden – er zijn dingen die het team wil inschakelen, maar niet heeft gedaan, het werkt niet op alle platforms die Edge ondersteunt, en het team zegt dat er ” nogal wat technische uitdagingen te overwinnen” voordat de functie wordt gelanceerd. Het is echter spannend werk dat wordt gedaan – aangezien Edge nu is gebaseerd op Chromium, gebruikt het dezelfde JavaScript-engine als Chrome. Dit maakt het denkbaar dat de functie door andere browsers kan worden overgenomen als deze succesvol is op Edge.
Wat de Tesla-achtige naam betreft, zegt Johnathan Norman, de leider van kwetsbaarheidsonderzoek, dat op sommige punt dat het zal moeten veranderen, deels omdat het een uitdaging zou zijn om uit te leggen hoe veilig iets dat als “super duper secure” wordt beschreven, is voor advocaten. Maar als er een manier is waarop Microsoft dit kan laten gebeuren zonder extra aansprakelijkheid (mensen kunnen begrijpelijkerwijs boos zijn als ze het slachtoffer worden van een exploit in Super Duper Secure Mode), zou het naast de extra bescherming een welkome eigenzinnigheid in de browser brengen.