Microsoft ha avviato i test per una nuova funzionalità per Edge che permette di migliorare la sicurezza, senza incidere eccessivamente sulle prestazioni. Quando viene attivata tramite un flag, Super Duper Secure Mode (questo il suo nome provvisorio) rimuove la compilazione just-in-time (JIT) dalla sequenza di elaborazione del motore JavaScript V8. Ciò riduce drasticamente uno dei principali punti deboli del browser che viene sfruttato per eseguire attacchi informatici.
Più sicurezza con Super Duper Secure Mode
Microsoft sottolinea che il motore JavaScript dei browser è il bersaglio preferito dai malintenzionati, a causa dei numerosi bug e della facilità con cui è possibile scrivere un exploit. È quindi necessario investire molte risorse nello sviluppo tempestivo di aggiornamenti di sicurezza. La presenza delle vulnerabilità è dovuta soprattutto al codice necessario per la compilazione just-in-time (JIT).
La sequenza di elaborazione è piuttosto complessa, ma fondamentale per ottenere prestazioni paragonabili a quelle del codice C++. Leggendo i dati CVE (Common Vulnerabilities and Exposures) a partire dal 2019 si può notare che quasi il 45% dei bollettini di sicurezza relativi a V8 riguardano il motore JIT. Considerata la difficoltà di eliminare i bug, Microsoft propone la disattivazione del JIT e la contestuale attivazione di tre tecnologie che riducono la “superficie di attacco”, ovvero Control-flow Enforcement Technology (CET), Arbitrary Code Guard (ACG) e Control Flow Guard (CFG).
In base ai test effettuati da Microsoft, la disattivazione del JIT comporta una minima diminuzione delle prestazioni, impercettibile dagli utenti durante l’uso quotidiano di Edge. Al momento la funzionalità Super Duper Secure Mode (SDSM) attiva solo la CET. Le altre tecnologie verranno aggiunte nei prossimi mesi. Per sfruttare SDSM è necessario installare le versione Beta, Dev o Canary del browser e attivare l’opzione sotto edge://flags.
Ti potrebbe interessare
6 ago 2021