Publicidade

Microsoft Edge testa função que abre mão de mais desempenho em nome da segurança

Por| Editado por Douglas Ciriaco | 05 de Agosto de 2021 às 11h18

Link copiado!

Divulgação/Microsoft Edge Insider
Divulgação/Microsoft Edge Insider
Tudo sobre Microsoft

O Microsoft Edge pode receber um grande reforço de segurança, revela uma publicação de pesquisadores da companhia responsável pelo navegador. Quando ativado, o “Super Duper Secure Mode” (ou “Modo Superseguro”, em tradução livre) desabilita funções do Just-in-time (JIT) do motor JavaScript V8 e, assim, minimiza as brechas desenroladas por bugs do componente. Isso, porém, a custo de desempenho.

De acordo com dados coletados desde 2019 da Common Vulnerabilities and Exposures (CVE), cerca de 45% das brechas encontradas no V8 e no WebAssembly eram relacionadas ao JIT. Reduzir esse caminho comum para ataques teria o potencial de melhorar significativamente a segurança, de acordo com o líder da equipe de pesquisa do Edge, Johnathan Norman.

Continua após a publicidade

“Essa redução na superfície de ataque acaba com metade dos bugs que vemos nos exploits e cada bug restante se torna mais difícil de explorar. Em outras palavras, reduzimos os custos para os usuários, mas aumentamos os custos para invasores”, comenta o profissional.

Desativar o JIT tem um preço

Contudo, não dá para dizer que não há perdas: o tempo de carregamento de páginas, um importante elemento quando se trata de navegador, foi o que mais sofreu com a retirada do JIT. “Os tempos de carregamento mostram uma redução mais severa, com testes indicando regressões em torno de 17%”, complementa a publicação. Os tempos de inicialização do app, por outro lado, não teve nenhuma perda.

Continua após a publicidade

Atualmente, a função está em estágio experimental, escondida no menu edge://flags das distribuições de teste do navegador (Edge Canary, Dev e Beta). Ela pode ser encontrada ao pesquisar por #edge-enable-super-duper-secure-mode.

Além de desabilitar o JIT do JavaScript, a função ativa o Control-flow Enforcement Technology (CET), uma ferramenta nativa presente em hardware Intel. Futuramente, os devs do Edge pretendem adicionar suporte ao Arbitrary Code Guard (ACG), outro mecanismo de segurança capaz de prevenir o carregamento de código na memória.

Devido ao impacto em performance nem sempre discreto, há a possibilidade de o recurso não ver a luz do dia na versão estável do Edge. “Claro que isso é apenas um experimento; as coisas ainda podem mudar e temos alguns desafios técnicos para superar”, conclui Norman.

Continua após a publicidade

Fonte: Microsoft, Bleeping Computer