Microsoft Edge testa função que abre mão de mais desempenho em nome da segurança

Microsoft Edge testa função que abre mão de mais desempenho em nome da segurança

Por Igor Almenara | Editado por Douglas Ciriaco | 05 de Agosto de 2021 às 11h18
Divulgação/Microsoft Edge Insider

O Microsoft Edge pode receber um grande reforço de segurança, revela uma publicação de pesquisadores da companhia responsável pelo navegador. Quando ativado, o “Super Duper Secure Mode” (ou “Modo Superseguro”, em tradução livre) desabilita funções do Just-in-time (JIT) do motor JavaScript V8 e, assim, minimiza as brechas desenroladas por bugs do componente. Isso, porém, a custo de desempenho.

De acordo com dados coletados desde 2019 da Common Vulnerabilities and Exposures (CVE), cerca de 45% das brechas encontradas no V8 e no WebAssembly eram relacionadas ao JIT. Reduzir esse caminho comum para ataques teria o potencial de melhorar significativamente a segurança, de acordo com o líder da equipe de pesquisa do Edge, Johnathan Norman.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

“Essa redução na superfície de ataque acaba com metade dos bugs que vemos nos exploits e cada bug restante se torna mais difícil de explorar. Em outras palavras, reduzimos os custos para os usuários, mas aumentamos os custos para invasores”, comenta o profissional.

Desativar o JIT tem um preço

Contudo, não dá para dizer que não há perdas: o tempo de carregamento de páginas, um importante elemento quando se trata de navegador, foi o que mais sofreu com a retirada do JIT. “Os tempos de carregamento mostram uma redução mais severa, com testes indicando regressões em torno de 17%”, complementa a publicação. Os tempos de inicialização do app, por outro lado, não teve nenhuma perda.

Atualmente, a função está em estágio experimental, escondida no menu edge://flags das distribuições de teste do navegador (Edge Canary, Dev e Beta). Ela pode ser encontrada ao pesquisar por #edge-enable-super-duper-secure-mode.

Fique atento: ativar a função pode implicar em problemas de desempenho para o navegador (Imagem: Reprodução/Bleeping Computer)

Além de desabilitar o JIT do JavaScript, a função ativa o Control-flow Enforcement Technology (CET), uma ferramenta nativa presente em hardware Intel. Futuramente, os devs do Edge pretendem adicionar suporte ao Arbitrary Code Guard (ACG), outro mecanismo de segurança capaz de prevenir o carregamento de código na memória.

Devido ao impacto em performance nem sempre discreto, há a possibilidade de o recurso não ver a luz do dia na versão estável do Edge. “Claro que isso é apenas um experimento; as coisas ainda podem mudar e temos alguns desafios técnicos para superar”, conclui Norman.

Fonte: Microsoft, Bleeping Computer  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.