Pourquoi est-ce important: Les chercheurs sur la vulnérabilité Edge de Microsoft souhaitent tester une idée plutôt non conventionnelle qui pourrait améliorer la sécurité des navigateurs basés sur Chromium pour les personnes prêtes à sacrifier un peu de performances. Cela s’appelle “Super-Duper Secure Mode” et est surtout une expérience amusante à ce stade, mais cela pourrait devenir une véritable fonctionnalité s’il y a suffisamment d’intérêt de l’utilisateur.

Après avoir déplacé le navigateur Edge vers le moteur Chromium, Microsoft a finalement mis au point un navigateur que de nombreuses personnes sont prêtes à utiliser et à utiliser de manière permanente. Mon expérience personnelle est qu’Edge fonctionne sans aucun problème majeur depuis l’arrivée des premiers développeurs et versions Canary pour Windows 10. Depuis lors, Microsoft a ajouté de nombreuses fonctionnalités telles que des onglets de veille, un générateur de mot de passe, des onglets verticaux, etc. .

L’année dernière, Google a cessé d’avertir les gens des risques de sécurité supposés d’Edge, et les deux sociétés se sont depuis engagées à travailler ensemble pour résoudre les plus gros problèmes de compatibilité entre navigateurs pour le Web moderne.

Edge n’a pas une sécurité parfaite, mais comme la plupart des navigateurs, il possède certaines fonctionnalités qui vous protègent autant que possible sans devenir un casse-tête. Par exemple, le navigateur de Microsoft vous permet de bloquer automatiquement les téléchargements “d’applications potentiellement indésirables”, mais la société teste actuellement une fonctionnalité de sécurité plus agressive appelée “Super Duper Secure Mode”.

Selon l’équipe Edge Vulnerability Research de Microsoft, le nouveau mode est basé sur une idée non conventionnelle mais est finalement conçu pour rendre plus coûteux pour les acteurs malveillants l’exploitation des failles qu’ils pourraient trouver. Ce que les chercheurs ont découvert, c’est que 45% des bogues dans le moteur Javascript V8 utilisé dans les navigateurs basés sur Chromium comme Edge, Chrome, Opera, Brave et Vivaldi étaient liés au pipeline de compilation Just-In-Time (JIT) pour JavaScript qui est utilisé pour améliorer les performances du navigateur Web.

L’idée derrière le SDSM d’Edge est que JIT offre une grande surface d’attaque qui nécessite un travail de correctif constant pour rester sécurisé. Et il ne s’agit pas seulement de supprimer près de la moitié des bogues dans le moteur JavaScript V8, car la désactivation de JIT permet d’activer des fonctionnalités de sécurité telles que la technologie Controlflow-Enforcement Technology (CET) d’Intel ou la fonction d’atténuation des exploits Arbitrary Code Guard (ACG) de Microsoft dans Windows 10. .

Après avoir effectué des tests automatisés pour l’alimentation, le démarrage, l’utilisation de la mémoire et les temps de chargement des pages, les chercheurs ont découvert que la désactivation du JIT entraînait des améliorations dans certains cas et des performances légèrement inférieures dans d’autres. L’utilisation de la mémoire ne change pas beaucoup, tandis que les temps de démarrage s’améliorent d’environ 9 %. En ce qui concerne les temps de chargement des pages, le pire des cas observé est qu’ils sont presque 17 % plus lents alors que dans le meilleur des cas, ils s’améliorent jusqu’à 9,5 %. L’utilisation de l’énergie est une histoire similaire, avec certains tests montrant une augmentation de 11,4% avec JIT désactivé et certains tests montrant une amélioration de 15% de l’efficacité énergétique.

Dans les benchmarks synthétiques comme Speedometer 2.0, la désactivation de JIT a conduit à un résultat 58% pire qu’avec JIT activé. Cependant, la différence de performances était beaucoup moins perceptible en utilisation réelle, ce qui compte beaucoup plus pour les utilisateurs qu’un nombre spécifique atteint dans un benchmark.

SSDM est une fonctionnalité expérimentale pour le moment, mais si vous souhaitez la tester vous-même, vous pouvez le faire en vous inscrivant au programme Edge Insider. Peu importe que vous soyez dans l’anneau Canary, Dev ou Beta, pour activer la fonctionnalité, accédez à edge://flags et activez celui nommé “edge-enable-super-duper-secure-mode”. Il convient également de noter que Web Assembly (WASM) ne fonctionne pas dans ce mode, alors procédez avec prudence.