Super Duper Secure Mode: Microsoft testet radikalen Security-Ansatz in Edge

Für einen experimentellen sicheren Modus kann der JIT-Compiler in Edge deaktiviert werden. Das ermöglicht weitere Security-Technik.

Artikel veröffentlicht am ,
Der Edge-Browser könnte neue Maßstäbe in Sachen Sicherheit setzen.
Der Edge-Browser könnte neue Maßstäbe in Sachen Sicherheit setzen. (Bild: Microsoft)

Das für Virtual Reality in Microsofts Edge-Browser zuständige Entwicklungsteam hat den experimentellen Super Duper Secure Mode (SDSM) in seinem Blog vorgestellt. Damit wollen die Beteiligten einen radikalen neuen Ansatz für Sicherheitstechniken in dem Browser testen, die bisher nicht möglich waren. Am wichtigsten sei jedoch, "dass wir Spaß an diesem Projekt haben. Dazu gehört auch, dem Experiment einen leicht provokanten Namen zu geben, weil wir es für lustig halten und es für etwas Offizielles etwas zu früh ist".

Stellenmarkt
  1. Fachinformatiker Anwendungsentwicklung 1c: Enterprise (m/w/d)
    KRAUSE-Werk GmbH & Co. KG, Alsfeld
  2. Consultant / Business Process Analyst (m/w/d)
    pdv Financial Software GmbH, Hamburg
Detailsuche

Die grundlegende Idee des SDSM ist es, den JIT-Compiler für Javascript zu deaktivieren. Das erscheint dabei zwar zunächst überraschend, aber eben auch naheliegend. Immerhin ist der JIT-Compiler einerseits eine der wichtigsten Komponenten im Browser, um die Leistung zu steigern. Andererseits finden sich in diesem Teil des Browsers aber auch immer wieder Fehler, die zu gravierenden Sicherheitslücken führen.

Leistungseinbußen für die Sicherheit

Ebenso hat der Aufbau des JIT-Compilers es bisher prinzipiell verhindert, einige moderne Sicherheitstechniken umzusetzen, die das Ausnutzen von Sicherheitslücken deutlich erschweren könnten. Dazu zählt vor allem die Controlflow-Enforcement-Technology (CET) von Intel. Wie der Name bereits andeutet, kann damit ein bestimmter Programmablauf mit Unterstützung der Hardware erzwungen werden, was das Ausführen von Schadsoftware deutlich erschwert.

Im Renderingprozess des Browsers kann diese bisher jedoch nicht genutzt werden. Die nun vorgeschlagene Reduktion der Angriffsfläche verhindere aber rund die Hälfte der Fehler, die für Exploits genutzt würden und die übrigen Fehler könnten deutlich schwerer ausgenutzt werden, heißt es in dem Blogpost.

Golem Akademie
  1. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Zwar sind die Leistungseinbußen für Javascript natürlich messbar, wenn der JIT-Compiler deaktiviert wird. Laut dem Blogpost hätten interne Tests aber gezeigt, dass die meisten Nutzer den Unterschied beim normalen Surfen mit dem Browser nicht bemerken. Außerdem gebe es auch einige messbare Leistungsgewinne, die sich durch das Deaktivieren des JIT-Compilers ergäben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit dem nun über die sogenannten Flags verfügbaren Experiment wollen die Beteiligten versuchen, einige Fragen zu klären, die sich aus dem Abwägen zwischen maximaler Leistung und einem Mehr an Sicherheit ergeben. Das Team hofft auf zahlreiches Feedback von Testern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Y - The Last Man
Eine Welt der Frauen

Vor knapp 20 Jahren wurde das erste Comic-Heft veröffentlicht, einige Jahre war die Fernsehserie Y - The Last Man in Entwicklung. Jetzt ist sie endlich bei Disney+.
Eine Rezension von Peter Osteried

Y - The Last Man: Eine Welt der Frauen
Artikel
  1. Huawei und Xiaomi: Litauen warnt vor chinesischen 5G-Smartphones
    Huawei und Xiaomi
    Litauen warnt vor chinesischen 5G-Smartphones

    Die litauische Regierung rät von der Nutzung chinesischer Smartphones ab. Diese könnten heruntergeladene Inhalte zensieren.

  2. CMOS-Batterie: Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet
    CMOS-Batterie
    Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet

    Sony hat mit Firmware 9.0 für die Playstation 4 ein großes Problem gelöst: eine leere CMOS-Batterie kann die Konsole nicht mehr zerstören.

  3. Call of Duty: Vanguard schon in der Beta von Cheatern geplagt
    Call of Duty
    Vanguard schon in der Beta von Cheatern geplagt

    Die uralte Code-Basis fällt Activision auf die Füße. Schon jetzt klagen Spieler der Beta-Version des neuen Call of Duty über Cheater.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • Gran Turismo 7 25th Anniversary PS4/PS5 vorbestellbar 99,99€ • Samsung T7 Portable SSD 1TB 105,39€ • PS5 bei Amazon zu gewinnen • Astro Gaming A20 + Deathloop PS5 139,99€ [Werbung]
    •  /