Microsoft Edge testa função que abre mão de Desempenho em nome da Segurança

O Navegador, Microsoft Edge, pode receber um grande reforço de segurança, revela uma publicação de pesquisadores da companhia responsável pelo navegador. Quando ativado, o “Super Duper Secure Mode” ou “Modo Superseguro”, em tradução livre, desabilita funções do JIT – Just-in-time do motor JavaScript V8 e, assim, minimiza as brechas desenroladas por bugs do componente. Isso, porém, a custo de desempenho.

De acordo com dados coletados desde 2019 da CVE – Common Vulnerabilities and Exposures, cerca de 45% das brechas encontradas no V8 e no WebAssembly eram relacionadas ao JIT. Reduzir esse caminho comum para ataques teria o potencial de melhorar significativamente a segurança, de acordo com o líder da equipe de pesquisa do Edge, Johnathan Norman.

Essa redução na superfície de ataque acaba com metade dos bugs que vemos nos exploits e cada bug restante se torna mais difícil de explorar. Em outras palavras, reduzimos os custos para os usuários, mas aumentamos os custos para invasores”, comenta o profissional.

Desativar o JIT tem um preço

Contudo, não dá para dizer que não há perdas: o tempo de carregamento de páginas, um importante elemento quando se trata de navegador, foi o que mais sofreu com a retirada do JIT. “Os tempos de carregamento mostram uma redução mais severa, com testes indicando regressões em torno de 17%”, complementa a publicação. Os tempos de inicialização do App, por outro lado, não teve nenhuma perda.

Atualmente, a função está em estágio experimental, escondida no menu edge://flags das distribuições de teste do navegador (Edge Canary, Dev e Beta). Ela pode ser encontrada ao pesquisar por #edge-enable-super-duper-secure-mode.

Fique atento: ativar a função pode implicar em problemas de desempenho para o navegador (Imagem: Reprodução/Bleeping Computer)

Além de desabilitar o JIT do JavaScript, a função ativa o CET – Control-flow Enforcement Technology, uma ferramenta nativa presente em hardware Intel. Futuramente, os devs do Edge pretendem adicionar suporte ao ACG – Arbitrary Code Guard, outro mecanismo de segurança capaz de prevenir o carregamento de código na memória.

Devido ao impacto em performance nem sempre discreto, há a possibilidade de o recurso não ver a luz do dia na versão estável do Edge. “Claro que isso é apenas um experimento; as coisas ainda podem mudar e temos alguns desafios técnicos para superar”, conclui Norman.

Fonte: CanalTech

Obtenha atualizações em tempo real diretamente no seu dispositivo, inscreva-se agora.

você pode gostar também
Comentários
Carregando...

Este site usa cookies para melhorar sua experiência. Presumimos que você aceita isso, mas você pode cancelar se desejar. Aceitar