image

Microsoft experimenteert met "Super Duper Secure Mode" voor Edge

donderdag 5 augustus 2021, 09:54 door Redactie, 10 reacties

Microsoft experimenteert met een "Super Duper Secure Mode" voor Edge die gebruikers tegen kwetsbaarheden in de browser moet beschermen door een specifiek onderdeel uit te schakelen. Veel van de beveiligingslekken waar op Chromium gebaseerde browsers zoals Edge mee te maken hebben bevinden zich in de V8 JavaScript-engine die browsers gebruiken voor het uitvoeren van JavaScript.

Het gaat dan met name om het deel dat voor "Just-In-Time Compilation" (JIT) verantwoordelijk is. JIT is ontworpen om het uitvoeren van bepaalde JavaScript-taken te versnellen. Hiervoor wordt JavaScript voordat het wordt gebruikt gecompileerd in machine code. Wanneer de browser deze code nodig heeft is het aanwezig, wat een groot prestatievoordeel biedt.

"Prestaties en complexiteit hebben een prijs", zegt Microsofts Johnathan Norman. Dit is vaak te zien in de vorm van kwetsbaarheden en daaropvolgende beveiligingsupdates. Bijna de helft van alle kwetsbaarheden in de V8-engine hebben met het JIT-gedeelte te maken. Daarom is Microsoft een experiment gestart waarbij het JIT binnen Edge wil uitschakelen. Iets dat Norman de "Super Duper Secure Mode" heeft genoemd.

Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar. Het is volgens Norman nog onduidelijk of de Super Duper Secure Mode als een feature in de definitieve versie van Edge beschikbaar komt, maar het is wel in de Canary-, Dev- en Beta-versies van de browser te testen via de optie: edge://flags/#edge-enable-super-duper-secure-mode.

Image

Reacties (10)
05-08-2021, 10:21 door Anoniem
Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is.
Ik wil niet flauw zijn hoor maar dit komt meer door het OS. Zelfde als je stopt er meer geheugen in en de gebruikers merken niets.
05-08-2021, 10:58 door Anoniem
Door Anoniem:
Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is.
Ik wil niet flauw zijn hoor maar dit komt meer door het OS. Zelfde als je stopt er meer geheugen in en de gebruikers merken niets.
Meer geheugen merk ik zeker wel. 8/16 of 32 maakt best wel het nodige uit op mijn machines met wat ik doe. En dat is gewoon normaal Office / browsen (Chrome/EDGE/FireFox).
05-08-2021, 11:50 door buttonius
Door Anoniem 10:21:
Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is.
Ik wil niet flauw zijn hoor maar dit komt meer door het OS. Zelfde als je stopt er meer geheugen in en de gebruikers merken niets.
Het alternatief voor JIT is bij het laden van de pagina eerst alle javascript code te compileren. Dat heeft tot gevolg dat het laden van een web site (en compileren) wat langer duurt. Daarna zou het sneller moeten zijn (omdat er niets meer gecompileerd hoeft te worden.

Uit het feit dat het nauwelijks merkbaar is (geen noemenswaardig performanceverschil geeft), concludeer ik, dat nagenoeg alle javascript code al gedraaid wordt (en dus gecompileerd moet worden) bij het laden van een pagina.

Waarom gebruik van JIT gepaard gaat met meer security problemen is mij niet duidelijk. Is er meer veiligheid door de javascript compiler met totaal andere sandboxing beveiliging kan draaien dan de gecompileerde code? Of is een JIT compiler zoveel ingewikkelder dat het zelfs met sandboxing niet veilig te krijgen is?
05-08-2021, 14:17 door Anoniem
Door buttonius:

Waarom gebruik van JIT gepaard gaat met meer security problemen is mij niet duidelijk. Is er meer veiligheid door de javascript compiler met totaal andere sandboxing beveiliging kan draaien dan de gecompileerde code? Of is een JIT compiler zoveel ingewikkelder dat het zelfs met sandboxing niet veilig te krijgen is?
Dit verhaal lezend krijg ik een beetje het idee dat er JIT gebruikt wordt, omdat het in theorie sneller is. Nu heeft men naar de praktijk gekeken, en valt dit dus wel redelijk tegen. Ik vermoed ook doordat hardware steeds sneller wordt, waardoor volledige compilatie simpelweg sneller gaat. Ik ben wel benieuwd naar dit onderzoek en de definitieve uitkomsten.
05-08-2021, 16:34 door John777

Meer geheugen merk ik zeker wel. 8/16 of 32 maakt best wel het nodige uit op mijn machines met wat ik doe. En dat is gewoon normaal Office / browsen (Chrome/EDGE/FireFox).
Niet om flauw te zijn, maar da's dan een Windows machine denk ik?
06-08-2021, 07:43 door [Account Verwijderd]
Door John777:

Meer geheugen merk ik zeker wel. 8/16 of 32 maakt best wel het nodige uit op mijn machines met wat ik doe. En dat is gewoon normaal Office / browsen (Chrome/EDGE/FireFox).
Niet om flauw te zijn, maar da's dan een Windows machine denk ik?

Inderdaad want mijn kloksnelheid 2,4GHz laptop met 8 GiB geheugen draait de allerzwaarste applicaties als een zonnetje onder Linux. Misschien dat meer geheugen zin zou hebben als ik bv. hoge resolutie foto's of video's wil gaan bewerken. Zelfs een telefoon produceert tegenwoordig beelden met absurde resoluties.
06-08-2021, 08:30 door Anoniem
Als je windows 10 Pro hebt of hoger kan je sandboxing aanzetten voor o.a. edge. Dit maakt het ook veilig.
06-08-2021, 13:26 door Anoniem
Schoenmaker hou je bij de leest. MS bemoeid zich met zaken die wij allang geregeld hebben.
09-08-2021, 13:22 door Anoniem
Ik vraag me af waarom V8 vaker security bugs heeft dan de Firefox Javascript engine(s).
10-08-2021, 17:38 door Anoniem
Door Anoniem: Schoenmaker hou je bij de leest. MS bemoeid zich met zaken die wij allang geregeld hebben.
"Microsoft investeert jaarlijks meer dan 1 miljard dollar in cybersecurity." - Bharat Shah
Kennelijk levert MS nu ook veiligheidsschoenen ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.