Microsoft 正在开发一项名为 Super Duper 安全模式的新 Microsoft Edge 安全功能。该工具的核心功能之一是它可以禁用 JavaScript 即时 (JIT) 编译器。这提供了向 Edge 浏览器添加多项新安全服务的好处。
Microsoft Edge 漏洞研究负责人乔纳森·诺曼 (Jonathan Norman) 在博客文章中宣布了该功能。但是,Super Duper 安全模式目前只是在 Edge 预览版中为特定用户运行的一项实验。
而且,是的,这个名字有点可笑。我希望它只是一个有趣的占位符,微软将在全面发布时正式更改它。Norman 说 V8 JavaScript 中发生的大多数漏洞都来自 JIT。
之所以发生这种情况,是因为编译器是一个“非常复杂的过程,很少有人理解,而且容错率很小”。
没有 JIT 的边缘
当 JIT 关闭时,Microsoft Edge 可以添加以前对编译器不可用的保护。Norman 指出这是一个问题,因为引擎运行的内容并不总是安全的:
“这很不幸,因为渲染器进程处理不受信任的内容,应该尽可能地锁定,”诺曼说。
“通过禁用 JIT,我们可以启用两种缓解措施,并使利用任何渲染器进程组件中的安全漏洞变得更加困难。
“攻击面的减少消除了我们在漏洞利用中看到的一半漏洞,并且每个剩余的漏洞都变得更加难以利用。换句话说,我们降低了用户的成本,但增加了攻击者的成本。”
重要的是,如果没有 JIT,Super Duper 安全模式似乎并不是 Edge 性能的主要影响因素。
“我们测量功率改进的测试显示平均提高了 15%,我们的回归显示功耗增加了约 11%。内存也是一个喜忧参半的故事,负面影响的测试显示 2.3% 的回归,但显示改进的测试有更大的收益,”诺曼补充道。
“页面加载时间显示出最严重的下降,测试显示回归平均约为 17%。然而,启动时间只有积极的影响,没有倒退。”
未经允许不得转载:表盘吧 » Microsoft Edge 试验 Super Duper 安全模式
