Super Duper Secure Mode: Microsoft testet radikalen Security-Ansatz in Edge

Für einen experimentellen sicheren Modus kann der JIT-Compiler in Edge deaktiviert werden. Das ermöglicht weitere Security-Technik.

Artikel veröffentlicht am ,
Der Edge-Browser könnte neue Maßstäbe in Sachen Sicherheit setzen.
Der Edge-Browser könnte neue Maßstäbe in Sachen Sicherheit setzen. (Bild: Microsoft)

Das für Virtual Reality in Microsofts Edge-Browser zuständige Entwicklungsteam hat den experimentellen Super Duper Secure Mode (SDSM) in seinem Blog vorgestellt. Damit wollen die Beteiligten einen radikalen neuen Ansatz für Sicherheitstechniken in dem Browser testen, die bisher nicht möglich waren. Am wichtigsten sei jedoch, "dass wir Spaß an diesem Projekt haben. Dazu gehört auch, dem Experiment einen leicht provokanten Namen zu geben, weil wir es für lustig halten und es für etwas Offizielles etwas zu früh ist".

Stellenmarkt
  1. Business Analyst (m/w/d)
    Allianz Lebensversicherungs-AG, Stuttgart
  2. Application Manager (m/w/d) für die Weiterentwicklung und Neueinführung von Fachanwendungen ... (m/w/d)
    Universität Stuttgart, Stuttgart
Detailsuche

Die grundlegende Idee des SDSM ist es, den JIT-Compiler für Javascript zu deaktivieren. Das erscheint dabei zwar zunächst überraschend, aber eben auch naheliegend. Immerhin ist der JIT-Compiler einerseits eine der wichtigsten Komponenten im Browser, um die Leistung zu steigern. Andererseits finden sich in diesem Teil des Browsers aber auch immer wieder Fehler, die zu gravierenden Sicherheitslücken führen.

Leistungseinbußen für die Sicherheit

Ebenso hat der Aufbau des JIT-Compilers es bisher prinzipiell verhindert, einige moderne Sicherheitstechniken umzusetzen, die das Ausnutzen von Sicherheitslücken deutlich erschweren könnten. Dazu zählt vor allem die Controlflow-Enforcement-Technology (CET) von Intel. Wie der Name bereits andeutet, kann damit ein bestimmter Programmablauf mit Unterstützung der Hardware erzwungen werden, was das Ausführen von Schadsoftware deutlich erschwert.

Im Renderingprozess des Browsers kann diese bisher jedoch nicht genutzt werden. Die nun vorgeschlagene Reduktion der Angriffsfläche verhindere aber rund die Hälfte der Fehler, die für Exploits genutzt würden und die übrigen Fehler könnten deutlich schwerer ausgenutzt werden, heißt es in dem Blogpost.

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    26./27.10.2022, virtuell
  2. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
Weitere IT-Trainings

Zwar sind die Leistungseinbußen für Javascript natürlich messbar, wenn der JIT-Compiler deaktiviert wird. Laut dem Blogpost hätten interne Tests aber gezeigt, dass die meisten Nutzer den Unterschied beim normalen Surfen mit dem Browser nicht bemerken. Außerdem gebe es auch einige messbare Leistungsgewinne, die sich durch das Deaktivieren des JIT-Compilers ergäben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit dem nun über die sogenannten Flags verfügbaren Experiment wollen die Beteiligten versuchen, einige Fragen zu klären, die sich aus dem Abwägen zwischen maximaler Leistung und einem Mehr an Sicherheit ergeben. Das Team hofft auf zahlreiches Feedback von Testern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streit mit Magnus Carlsen
Schachgroßmeister Niemann soll über 100 Mal betrogen haben

Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
Artikel
  1. Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
    Airpods Pro 2 im Test
    Apple schaltet Lärm und Konkurrenz aus

    Mit sinnvollen Änderungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
    Ein Test von Ingo Pakalski

  2. Vodafone und Telekom: Zwei Netzbetreiber melden Datenrekord auf Oktoberfest
    Vodafone und Telekom
    Zwei Netzbetreiber melden Datenrekord auf Oktoberfest

    Die Telekom liegt beim Datenvolumen klar vor Vodafone. Es gab in diesem Jahr besonders viel Roaming durch ausländische Netze.

  3. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.199€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /