[ Zavřít ] 


 

RSS Kanál

 

Microsoft Edge testuje bezpečnostní režim Super Duper KE STAŽENÍ

Microsoft Edge přichází s projektem a funkcionalitou bezpečnostního režimu Super Duper. Ten má podstatně omezit velikost útočného vektoru skýtaného technologií kompilace JavaScriptu Just-In-Time (JIT). Jeho stinnou stránkou ovšem je, že zatím tak činí omezením výkonnostní fičury JIT. Vyhraje rychlost nebo zabezpečení?

 

Microsoft Edge testuje bezpečnostní režim Super Duper (Zdroj: Microsoft)

„Tým zkoumající zranitelnosti browseru experimentuje s novou funkcí, která zpochybňuje některé konvenční předpoklady lidí z komunity kolem vývoje prohlížečů. Doufáme v to, že vyvineme něco, co výrazně zasáhne do světa počítačových exploitů a výrazně zvýší náklady na zneužívání zranitelností. Obcházení bezpečnostních záplat má za sebou dlouhou historii, a proto se snažíme získat zpětnou vazbu od široké komunity, abychom vybudovali něco, co bude mít trvalou hodnotu,“

uvádí fičuru Super Duper Secure Mode Johnathan Norman z týmu pro zkoumání zranitelností Microsoft Edge. Podstatou jejího fungování je v současnosti deaktivace JIT aneb Just-In-Time kompilace JavaScriptu v assembleru V8. Ostatně útočným vektorem většiny útoků jsou právě chyby v javascriptovém enginu, a to z vícero důvodů. Podle Normana skýtají:

  • „snadno zneužitelné prvky,
  • přísun těchto chyb je v podstatě neustálý a
  • zneužívání těchto chyb se řídí velmi jednoduchou šablonou“. 

Ovšem technologie kompilace Just-In-Time neexistuje samoúčelně. Jejím posláním je urychlit specifické úkoly v rámci JavaScriptu, a to sice pomocí předkompilace JavaScriptu těsně před tím, než je ho potřeba. Problémem je, že toto zvýšení uživatelského komfortu vede ke snížení zabezpečení počítače. Podle databáze známých chyb CVE (Common Vulnerabilities and Exposures) 45 % bezpečnostních zranitelností spojených s javascriptovým assemblerem V8 bylo zaviněných právě technologií JIT. A také analýza provedená Mozillou ukázala, že většina exploitů operujících v reálném světě staví na zranitelnost JIT.

Podíl chyb zabezpečení v rozlišení týkajících se technologie JIT (červeně) a ostatních (modře) (Zdroj: https://microsoftedge.github.io)

Podíl chyb zabezpečení v rozlišení týkajících se technologie JIT (červeně) a ostatních (modře) (Zdroj: https://microsoftedge.github.io)
 

Deaktivace výkonnostních funkcionalit mají dopady na výkon. V javascriptových benchmarcích došlo místy i k výrazným propadům - např. ve Speedometru 2.0 zaznamenali vývojáři Microsoft Edge výrazné poklesy výsledků až o 58 %. Nicméně benchmarky jsou jen střípkem z celkového obrazu. Při zkoumání užívání Microsoft Edge s vypnutou kompilací Just-In-Time uživatelé jen zřídka zaznamenali jakýkoliv rozdíl v běžném užívání. 

A právě na otázky, zda při používání upřednostnit zabezpečení či uživatelský komfort, jak poupravit či nahradit JIT při jednotlivých úkolech JavaScriptu v prohlížeči má odpovědět vývojářský projekt a testovací funkcionalita Super Duper Secure Mode aneb bezpečnostní režim Super Duper.

Postupujeme edge://flags - Super Duper Secure Mode - zvolíme Enabled a restartujeme Edge (Zdroj: Microsoft Edge)

Jak povolit bezpečnostní režim Super Duper v prohlížeči Microsoft Edge?

Bezpečnostní režim Super Duper by měl fungovat v Microsoft Edge ve verzích Canary, Dev a Beta. Máme-li prohlížeč v jedné z těchto verzí:

  1. otevřeme experimentální nastavení vepsání příkazu edge://flags do adresního řádku; 
  2. vyhledáme položku Super Duper Secure Mode
  3. přepneme ji do polohy Enabled
  4. restartujeme Microsoft Edge. 

Zdroje

  • Microsoft
  • Microsoft Edge
  • Microsoft Browser Vulnerability Research

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

ČTÚ spouští NetTest, certifikovaný test internetu

Kvalita připojení k internetu se liší nejen mezi jednotlivými poskytovateli - co hůř - kolísá v čase u téhož. Navíc zákazníci jsou typicky v nevýhodné pozici: mohou sice rychlost připojení reklamovat, ale o tom, jak jejich reklamace dopadne či...

Vivaldi 4.2 přináší nové volby ochrany soukromí

Vivaldi stále válčí především customizovatelností prohlížeče, maximální svobodou výběru používaných služeb a snahou o ochranu uživatelského soukromí. Ve verzi 4.2 se to rovná implementací nového překladače Lingvanex...

LibreOffice 7.2: neustálé zlepšování podpory formátů MS Office

LibreOffice je sice open-source software, nicméně jeho vývojáři ví, že pro masivní rozšíření v komunitě a především mezi firemními zákazníky musí bezchybně pracovat i s proprietárními formáty. Jako jsou například ty...

NortonLifeLock akvíruje Avast

Bývalý Symantec Corp. alias NortonLifeLock a Avast se dohodli na fúzi, při níž Avast skončí pod křídly NortonLifeLock. Akvizice přijde americkou společnost na něco mezi 8,1 - 8,6 miliard dolarů. A akcionáři Avastu budou mít nárok na kombinaci peněžního...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama