image

Microsoft voorziet standaardversie Edge van "Super Duper Secure Mode"

woensdag 24 november 2021, 09:26 door Redactie, 19 reacties

Microsoft heeft de standaardversie van Edge voorzien van een "Super Duper Secure Mode" die gebruikers tegen kwetsbaarheden in de browser moet beschermen door een specifiek onderdeel uit te schakelen. Veel van de beveiligingslekken waar op Chromium gebaseerde browsers zoals Edge mee te maken hebben bevinden zich in de V8 JavaScript-engine die browsers gebruiken voor het uitvoeren van JavaScript.

Het gaat dan met name om het deel dat voor "Just-In-Time Compilation" (JIT) verantwoordelijk is. JIT is ontworpen om het uitvoeren van bepaalde JavaScript-taken te versnellen. Hiervoor wordt JavaScript voordat het wordt gebruikt gecompileerd in machine code. Wanneer de browser deze code nodig heeft is het aanwezig, wat een groot prestatievoordeel biedt.

"Prestaties en complexiteit hebben een prijs", aldus Microsofts Johnathan Norman. Dit is vaak te zien in de vorm van kwetsbaarheden en daaropvolgende beveiligingsupdates. Bijna de helft van alle kwetsbaarheden in de V8-engine hebben met het JIT-gedeelte te maken. Microsoft ontwikkelde daarom de "Super Duper Secure Mode" waarbij het JIT binnen Edge wordt uitgeschakeld.

Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar.

In augustus was de beveiligingsfeature beschikbaar in de testversies van Edge, maar die is nu ook in de standaardversie van de browser uitgerold. Gebruikers kunnen daarbij uit twee opties kiezen. De eerste is Balanced, waarbij JIT op nieuwe, niet vaak bezochte sites wordt uitgeschakeld en Strict, waarbij JIT op alle sites uitstaat.

Image

Reacties (19)
24-11-2021, 09:51 door Anoniem
Open edge://settings/privacy om direct naar de instelling te gaan. Scroll naar Beveiliging. Kies voor 'Beveiligingsbeperkingen inschakelen voor een veiligere browserervaring'.

Link naar de oorspronkelijke blog post: https://microsoftedge.github.io/edgevr/posts/Super-Duper-Secure-Mode/
24-11-2021, 10:13 door Anoniem
Super Duper Secure Mode?
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:

https://github.com/klinix5/InstallerFileTakeOver

MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!

Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
24-11-2021, 10:37 door Anoniem
Door Anoniem: Super Duper Secure Mode?
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:

https://github.com/klinix5/InstallerFileTakeOver

MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!

Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.

Laatste tijd? Printergate kwetsbaarheid zat al in de eerste Windows versie die met print spooler service werd geleverd
24-11-2021, 10:48 door Anoniem
Super Duper Secure Mode

Alleen het woord "super duper" geeft me al ongemakkelijke kriebels.
Alsof ik een reclame in een pulp magzine uit de jaren '40 van de vorige eeuw aan het lezen ben.
24-11-2021, 10:48 door Anoniem
Waarom doet mijn calc en photo viewer het niet wanneer ik de license manager service stop, en Edge wel? Omdat het gewoon @#$@#$@#$ zijn daar bij microsoft. En als je rommel maakt, hoezo moet ik dan geloven dat juist dit wel werkt goed geimplementeerd is???

Er is maar een veiligheid, en dat is er eentje die je zelf kunt controleren, per definitie is closed source nooit veilig te noemen, omdat je het gewoon niet kunt testen.
(Behalve dan in India, daar zitten bedrijven die een test resultaat ok afgeven, ook als de test niet is gedaan)
24-11-2021, 10:52 door Anoniem
Door Anoniem: Super Duper Secure Mode?
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:

https://github.com/klinix5/InstallerFileTakeOver

MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!

Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.

Ja je kunt gewoon zien dat ze vol inzetten op cloud diensten, net als Apple. Enige wat ze niet doorhebben is dat ze daar niets bijzonders leveren en als er een Europees initiatief komt, de klanten weg stromen. En dan hebben ze niet meer hun proprietary/monopolistische producten om op terug te vallen.
24-11-2021, 11:02 door Anoniem
Misschien, misschien, misschien is het tijd om JS gewoon te gaan verlaten. Vervang het door wat Brendan Eich had voorgesteld: Scheme (of misschien wel beter: Clojure). Dan ben je gelijk van alle shit van JS af. [1]

Het is eigenlijk niet te begrijpen dat een voorstel, met veel spoed gemaakt door Netscape in 1993 !!!, nu nog steeds wordt gebruikt. JS bevat zoveel onzin, dat is niet te begrijpen, en een compiler ervoor ontwikkelen (V8), dat daardoor ook zoveel bugs bevat, dat is wederom niet te begrijpen.[2]

In deze situatie zitten we nu. Het is jullie taak om deze situatie een keer op te gaan lossen. Maak een web 2.0 of zoiets, haal er alle onzin uit en je zal zien dat het in no-time serieus ontvangen gaat worden.

Ik ben het eens dat MS niet het antwoord zal zijn om hun shit op te gaan lossen. Ze kunnen het niet. Ze zijn met teveel mensen eraan bezig. En Google kan het ook niet. Die hebben hetzelfde probleem. Dus zullen jullie het moeten doen.

[1] https://en.wikipedia.org/wiki/JavaScript
[2] Jongens, stop eens een keer met C of C++. Kijk een keer naar alternatieven. Zoals vlang.io bv, maar er zijn er veel meer.
24-11-2021, 11:08 door Anoniem
Door Anoniem: Super Duper Secure Mode?
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:

https://github.com/klinix5/InstallerFileTakeOver

MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!

Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
Als je zoveel kritiek hebt, dan nodig ik je uit om met iets beters te komen. Bijvoorbeeld: een patch die wel werkt, of ga eens solliciteren bij Microsoft. Dan zijn we vast van alle ellende bevrijd.
24-11-2021, 11:15 door Anoniem
Ook in Firefox kun je dit uitzetten.

Typ in de adresbalk, about:config.
Accepteer de waarschuwing

zet de volgende items op FALSE door op de items te dubbelklikken:

javascript.options.baselinejit
javascript.options.ion
javascript.options.wasm
javascript.options.asmjs


Sluit de browser af. Klaar.
Let op: deze instellingen zijn wel voor eigen risico.
24-11-2021, 13:48 door Anoniem
Marketing poging om hip over te komen... Beetje zoals Tesla met hun 'Ludicrous Mode'....
24-11-2021, 14:33 door [Account Verwijderd]
Microsoft voorziet standaardversie Edge van "Super Duper Secure Mode"

#ROFL (over een contradictio in terminus gesproken)
24-11-2021, 18:39 door Anoniem
Ah, ik dacht altijd dat Edge was om Firefox te downloaden.
24-11-2021, 19:38 door Anoniem
Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar.

Dat zou betekenen dat die JIT niet werkt en zijn doel niet bereikt. Immers het doel is om de boel efficienter te laten
werken, en als dat functioneert dan betekent het dat er voor hetzelfde gebruik minder CPU power gebruikt wordt en
dus minder stroom. Als dat in de praktijk niet zo is dan is het tijd voor een redesign (wellicht zonder JIT).
24-11-2021, 19:47 door Anoniem
klopt het dat dit (en meer) in Firefox door middel van NoScript te beheersen is? Of gaat dit probleem enerzijds en NoScript anderzijds over hele andere functionaliteit?

bedankt, Beuswas
24-11-2021, 20:41 door [Account Verwijderd]
Door Anoniem: Ook in Firefox kun je dit uitzetten.

Typ in de adresbalk, about:config.
Accepteer de waarschuwing

zet de volgende items op FALSE door op de items te dubbelklikken:

javascript.options.baselinejit
javascript.options.ion
javascript.options.wasm
javascript.options.asmjs


Sluit de browser af. Klaar.
Let op: deze instellingen zijn wel voor eigen risico.

@ Anoniem, 11:15 uur:

Dank je wel voor deze tip!
Vandaag gelukkig weer iets positiefs gelezen hier. Door jouw reactie waande ik mij even terug in de tijd hier op Security.nl anno 2011.
24-11-2021, 22:38 door Anoniem
Door Anoniem: Ah, ik dacht altijd dat Edge was om Firefox te downloaden.
Dat is werkelijk ook het enige waarvoor ik het ooit gebruikt heb. Ik draai zelden Windows, maar als ik het draai, dan werk ik ook uitsluitend met software die ik ook onder Linux draai. Enige uitzondering is AIMP, een heerlijke audiospeler die helaas niet onder Windows beschikbaar is. Maar dat even terzijde. ;-)

Leuk detail is dat ik dit bericht tik op Seamonkey onder Windows 10. Standaard gebruik ik Firefox, maar ik moet zeggen dat Seamonkey ook uitermate bruikbaar is. En het doet weer denken aan de goede oude tijd, want Seamonkey lijkt nog steeds heel erg op Netscape vroeger. Even terug in de tijd, zeg maar.

Ja, het oogt ouderwets dus, maar ik gebruik Seamonkey nog tien keer liever dan Edge (of elk andere browser met de Blink engine).
25-11-2021, 13:09 door Anoniem
Door Anoniem: klopt het dat dit (en meer) in Firefox door middel van NoScript te beheersen is? Of gaat dit probleem enerzijds en NoScript anderzijds over hele andere functionaliteit?

bedankt, Beuswas
Het gaat over verschillende dingen. NoScript bepaalt of JavaScript wordt uitgevoerd, hier gaat het over hoe JavaScript wordt uitgevoerd wanneer die wordt uitgevoerd: met een interpreter of na compilatie als machinecode.

Machinecode wordt rechtstreeks door de CPU van een computer uitgevoerd. Een JIT-compiler zet delen van de broncode (JavaScript) om naar machinecode op het moment dat die uitgevoerd moet worden, vandaar "Just-In-Time".

Een interpreter zet code helemaal niet om naar machinecode, maar kijkt in plaats daarvan welke JavaScript-instructies er staan en en voert de acties die daarbij horen zelf uit.

Op zich is gecompileerde code (machinecode) veel sneller dan geïnterpreteerde code, maar compileren zelf kost ook tijd. Als compileren plus uitvoeren van de machinecode samen meer tijd kost dan dezelfde code geïnterpreteerd uitvoeren (wat heel goed kan), dan heeft compileren pas zin als je de machinecode vervolgens meerdere keren uitvoert. Kennelijk constateert Microsoft dat dat bij webpagina's vaak niet zo uitpakt, waardoor interpreteren dan gunstiger is.

Dat in de JIT-gecompileerde versie allerlei beveiligingsfouten zitten die in de geïnterpreteerde versie niet optreden betekent volgens mij dat de JIT-compiler of iets dat bij het uitvoeren van de gecompileerde code wordt gebruikt zelf behoorlijk buggy moet zijn. Dat is geen wetmatigheid, er bestaan zeer robuuste compilers, en ook zeer robuuste JIT-compilers. Ik denk dan ook dat je deze conclusie over Edge niet zomaar op Firefox kan toepassen, die gebruikt een andere JavaScript-implementatie, die helemaal niet per se dezelfde problemen hoeft te hebben als die van Edge.
26-11-2021, 10:24 door Anoniem
Super duper secure? Gebruik dan een browser in een sandbox.
Log daarnaast in als een gast gebruiker in windows en zet tevens de SRP policies aan dat je niks mag opstarten wat niet toegestaan is en ook niks geinstalleerd mag worden.
29-11-2021, 15:55 door Anoniem
Door Anoniem: Open edge://settings/privacy om direct naar de instelling te gaan. Scroll naar Beveiliging. Kies voor 'Beveiligingsbeperkingen inschakelen voor een veiligere browserervaring'.

Link naar de oorspronkelijke blog post: https://microsoftedge.github.io/edgevr/posts/Super-Duper-Secure-Mode/

Ik heb Edge uitgeschakeld dus geen enkel probleem met deze privacy schender.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.