Det er ikke alltid så merkbart for vanlige brukere, men det gis stadig vekk ut sikkerhetsoppdateringer til de fleste nettlesere. Dette fordi det temmelig hyppig blir oppdaget sårbarheter i nettleserne. Mange av disse sårbarhetene er knyttet til Javascript-motoren, og rundt halvparten av disse igjen er knyttet til JIT-kompileringen (Just-In-Time), en teknologi som i mer enn ti år har bidratt til bedre ytelse ved kjøring av mange webapplikasjoner.
Dette opplyser Microsoft Browser Vulnerability Research-teamet i et fersk blogginnlegg.
Mareritt for forsvarerne
Felles for mange av sårbarhetene er at de ofte er temmelig enkle å utnytte av ondsinnede, samtidig som at strømmen av nye sårbarheter aldri ser ut til å ta slutt. Dette omtales som et mareritt for dem som skal forsvare sikkerheten i nettleserne.
I tillegg er det slik at mange virksomheter, særlig de store, ser seg nødt til å teste oppdateringene før de rulles ut. Med nye sikkerhetsoppdateringer flere ganger i måneden skaper dette mye frustrasjon, ifølge Microsoft .
Spørsmålet Microsoft Browser Vulnerability Research nå stiller, er om JIT er verdt prisen. Joda, det bidrar til økt fart og bedre brukeropplevelse i mange tilfeller, ikke minst i forbindelse med spill. I andre tilfeller, for brukere som primært leser mer eller mindre statiske avisartikler eller blogginnlegg, spiller JIT veldig liten rolle.
Tøysenavn
Microsoft er derfor i ferd med å bygge inn en ny modus Edge-nettleseren som deaktiverer JIT, som i Javascript-motoren heter Turbofan/Sparkplug. Denne modus kalles foreløpig for Super Duper Security Mode (SDSM). Det omtales som et humoristisk navn som nok ikke blir det endelige.
Ved å deaktivere JIT, åpnes det også enkelte nye muligheter. Blant annet finnes det flere sikkerhetsteknologier som ikke samspiller godt med JIT og som derfor ikke støttes av renderingsprosessen i nettleserne.
I den nåværende versjonen av SDSM, som er tilgjengelig, men deaktivert i testversjoner av Edge, er støtte for Controlflow-Enforcement Technology (CET) aktivert. Dette er en maskinvarebasert teknologi som skal kunne beskytte mot utnyttelse av sårbarheter. Foreløpig støttes ikke Web Assembly i SDSM.
Tilsvarende håper Microsoft også å kunne beskytte renderingsprosessen med teknologier som Arbitrary Code Guard (ACG) og Control Flow Guard (CFG).
Kan testes nå
I testversjonene kan SDSM aktiveres ved å lime «edge://flags/#edge-enable-super-duper-secure-mode» inn i adressefeltet og deretter endre verdien.
Foreløpig er dette på et eksperimentelt nivå, og Microsoft skriver ingenting om hvordan det er tenkt at det skal løse de faktiske problemene knyttet til behovet for hyppige sikkerhetsoppdateringer. I blogginnlegget heter det at Microsoft håper å kunne aktivere SDSM på en intelligent måte basert på risiko, samt gi brukerne mulighet til å balansere ulempene.