2021/08/06

Edge ganha modo de segurança "Super Duper"

A MS está a testar um modo mais seguro para o Edge, a que chama "Super Duper Secure Mode" e que desactiva o compilador JIT do Javascript para maior segurança.

Apesar do nome ser algo que mais rapidamente se associaria a algo que Elon Musk tivesse adicionado aos Tesla, este Super Duper Secure Mode do Edge assenta num pressuposto que põe em causa se os browsers actualmente precisam de um compilador JIT do Javascript. Os browser tornaram-se peças complexas de software para poderem lidar com as evoluções da web, e uma das partes mais complexa assenta na execução do código javascript.

Tradicionalmente, qualquer linguagem de computador tem que ser compilada - o processo de conversão da linguagem legível por humanos para código que o computador entende. Mas havendo páginas que podem ter javascript a ocupar vários megabytes, foram sendo criado técnicas para tentar lidar com isso da forma mais rápida possível, resultando em motores que usam uma combinação de compiladores JIT (Just in Time) e compiladores tradicionais. Nos JIT, o processo de compilação vai sendo feito à medida que o programa está a ser executado, mas com isso surgem também algumas potenciais vulnerabilidades face à compilação tradicional, que primeiro iria analisar todo o conteúdo.

Numa analogia simples de entender, é como alguém ter que fazer uma tradução em directo de algo que está a ouvir; e no outro caso estar a traduzir um texto, no qual pode lê-lo na totalidade antes de iniciar a tradução, e saltar para a frente e para trás para perceber todas as referências que possam existir entre diferentes parágrafos.

Com as máquinas actuais a terem desempenho mais que suficiente, a equipa do Edge decidiu experimentar desligar o modo JIT e depender apenas do processo de compilação tradicional, e os resultados foram positivos. Na maioria dos casos não havendo qualquer diferença significativa - a não ser na segurança acrescida, pois desta forma evitam-se algumas tácticas que poderiam enganar o sistema JIT para tentarem encontrar vulnerabilidades.

Para quem quiser experimentar, pode activar o modo: edge://flags/#edge-enable-super-duper-secure-mode no Edge.


Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]