Microsoft mejora la seguridad de su navegador Edge
Microsoft está trabajando en un modo seguro para Edge con el que espera poder reducir la cantidad de fallos y vulnerabilidades al inhabilitar JIT y habilitar en su lugar otras mitigaciones, sin que ello afecte al rendimiento del navegador.
El modo ‘Super Duper Secure’ reduciría la explotación de vulnerabilidades mediante la inhabilitación de algunas funciones, equilibrando la seguridad y el rendimiento en un navegador basado en JavaScript.
En concreto, el modo se centra en la compilación “Just-In-Time’ (JIT), que se introdujo en 2008 para acelerar algunas tares específicas en JavaScript, pero supone un problema de seguridad, dada la cantidad de vulnerabilidades y bugs que se le han identificado.
La solución no es tan sencilla como retirar JIT, ya que aunque se mitigarían los problemas de seguridad, se estaría perjudicando el rendimiento de JavaScript, como indican desde el equipo de Edge en la página de Microsoft en GitHub. Aparecerían problemas con el consumo de memoria o el tiempo de renderizado, por ejemplo.
La compañía tecnológica está investigando las consecuencias de deshabilitar JIT, con el experimento del modo ‘Super Duper Secure’ (nombre provisional). Por el momento, el modo deshabilita JIT (TurboFan / Sparkplug) y habilita la tecnología de Intel Control-Flow Enforcement (CET) de mitigación de ‘exploits’ basada en hardware. Poco a poco la compañía habilitará nuevas mitigaciones y añadirá la compatibilidad con Web Assambly.
Al ser por el momento un experimento, la compañía ha puesto a disposición de los desarrolladores este modo en GitHub, para recibir sus comentarios sobre la experiencia.