Microsoft Edge testa função que abre mão de mais desempenho em nome da segurança
Por Igor Almenara | Editado por Douglas Ciriaco | 05 de Agosto de 2021 às 11h18
O Microsoft Edge pode receber um grande reforço de segurança, revela uma publicação de pesquisadores da companhia responsável pelo navegador. Quando ativado, o “Super Duper Secure Mode” (ou “Modo Superseguro”, em tradução livre) desabilita funções do Just-in-time (JIT) do motor JavaScript V8 e, assim, minimiza as brechas desenroladas por bugs do componente. Isso, porém, a custo de desempenho.
- Microsoft Edge prepara uma imensa lista de novidades para 2021; saiba quais são
- Microsoft Edge desbanca Firefox e vira o 3º navegador mais popular do mundo
- 4 motivos para você usar o Microsoft Edge como navegador principal
De acordo com dados coletados desde 2019 da Common Vulnerabilities and Exposures (CVE), cerca de 45% das brechas encontradas no V8 e no WebAssembly eram relacionadas ao JIT. Reduzir esse caminho comum para ataques teria o potencial de melhorar significativamente a segurança, de acordo com o líder da equipe de pesquisa do Edge, Johnathan Norman.
“Essa redução na superfície de ataque acaba com metade dos bugs que vemos nos exploits e cada bug restante se torna mais difícil de explorar. Em outras palavras, reduzimos os custos para os usuários, mas aumentamos os custos para invasores”, comenta o profissional.
Desativar o JIT tem um preço
Contudo, não dá para dizer que não há perdas: o tempo de carregamento de páginas, um importante elemento quando se trata de navegador, foi o que mais sofreu com a retirada do JIT. “Os tempos de carregamento mostram uma redução mais severa, com testes indicando regressões em torno de 17%”, complementa a publicação. Os tempos de inicialização do app, por outro lado, não teve nenhuma perda.
Atualmente, a função está em estágio experimental, escondida no menu edge://flags das distribuições de teste do navegador (Edge Canary, Dev e Beta). Ela pode ser encontrada ao pesquisar por #edge-enable-super-duper-secure-mode.
Além de desabilitar o JIT do JavaScript, a função ativa o Control-flow Enforcement Technology (CET), uma ferramenta nativa presente em hardwareIntel. Futuramente, os devs do Edge pretendem adicionar suporte ao Arbitrary Code Guard (ACG), outro mecanismo de segurança capaz de prevenir o carregamento de código na memória.
Devido ao impacto em performance nem sempre discreto, há a possibilidade de o recurso não ver a luz do dia na versão estável do Edge. “Claro que isso é apenas um experimento; as coisas ainda podem mudar e temos alguns desafios técnicos para superar”, conclui Norman.
Fonte: Microsoft, Bleeping Computer