Microsoft Edge va bénéficier d’un mode Super Duper Secure
L'équipe de recherche des vulnérabilités dans Microsoft Edge a annoncé l'arrivée d'un nouveau mode nommé "Super Duper Secure" pour le navigateur de Microsoft, dans le but de renforcer la sécurité.
Lorsque le mode "Super Duper Secure" sera actif dans Edge, le compilateur JavaScript JIT (Just-In-Time) v8 sera désactivé. JIT permet la compilation du code à la volée, ce qui permet notamment d'améliorer les performances.
Grâce à cette modification, il devient possible d'activer des fonctions de sécurité supplémentaires au niveau de Windows : la technologie CET (Control-flow Enforcement Technology) d'Intel qui est une protection contre les exploits, l'ACG (Arbitrary Code Guard) et le CFG (Control Flow Guard).
Johnathan Norman, le responsable de l'équipe de recherche de Microsoft Edge, affirme que près de la moitié des vulnérabilités associées à JavaScript V8 sont liées au processus JIT. Un processus qu'il juge très complexe et difficile à appréhender. Désactiver JIT permet de réduire de façon considérable la surface d'attaque, ce qui n'est pas négligeable.
Le fait d'utiliser Edge sans JIT impacte les performances du navigateur et il y aurait même une baisse des performances de 58%. Néanmoins, cela dépend du type de contenu consulté à partir du navigateur. Pour le moment, les développeurs de Microsoft vont continuer d'améliorer ce mode pour réduire au maximum l'impact sur les performances.
Pour tester ce nouveau mode dès à présent, il est nécessaire d'installer une version Preview de Microsoft Edge. Ensuite, il faut activer le mode "Super Duper Secure" dans les options avancées, à cette adresse :
edge://flags/#edge-enable-super-duper-secure-mode
Je pense qu'une perte au niveau des performances est acceptable si cela reste raisonnable et que la sécurité est réellement renforcée.
