Especialistas testam “Modo Super Ultra Seguro” para o Microsoft Edge

Considerado mais seguro que o Chrome e que o Firefox pela NSS Labs, o Edge, em breve, deve ganhar um reforço de peso. Pesquisadores de segurança da Microsoft estão desenvolvendo um “Modo Super Ultra Seguro” (SDSM, na sigla em inglês) para o navegador, em busca de reforçar a proteção sem interferir no desempenho.

Segundo os especialistas, o sistema vai remover a compilação Just-In-Time (JIT) do pipeline de processamento V8 do Edge, o que pode reduzir consideravelmente algumas das vulnerabilidades usadas por cibercriminosos para invadir os sistemas do navegador. Complicado, não?

Para entender o que está sendo feito é preciso levar em consideração alguns pontos. O JavaScript é uma linguagem de programação que permite implementar itens complexos em páginas web. Até por isso, ele possui um papel importante na história de qualquer navegador.

E para ser executado corretamente, a linguagem é otimizada por uma série de processos complexos. É aí que entram o JIT e o V8: ambos têm o papel de compilar o código JavaScript para o formato nativo de máquina antes de executá-lo.

Embora essas ferramentas sejam essenciais para otimizar o desempenho do JavaScript, o “preço que se paga” são refletidos em bugs e na necessidade constante de atualizações de patches dos navegadores. Com o Microsoft Edge não é diferente.

Vulnerabilidades do JavaScript em navegadores têm sido bastante exploradas por cibercriminosos. Foto: Alltechbuzz/Pixabay

Edge sem JIT

No entanto, os especialistas do Edge resolveram fazer um teste e eliminar o JIT do processamento do navegador. Isso resultaria em uma diminuição considerável de bugs e, naturalmente, um reforço na proteção do browser.

“Os bugs do mecanismo de JavaScript são um pilar para os invasores por uma variedade de razões; eles fornecem primitivos de exploit poderosos, há um fluxo constante de bugs e a exploração desses bugs geralmente segue um modelo simples”, afirmaram os especialistas em uma publicação.

Ou seja, mesmo que o processo pareça complicado, o Modo Super Ultra Seguro do Edge baseia-se em uma lógica, em teoria, “simples”: sem o JIT, a expectativa é de menos bugs — e consequentemente menos patches de atualizações — e de menores alternativas para os invasores.

E o desempenho?

Sim, o JIT, de fato, ajuda a otimizar os processos de JavaScript nos navegadores. No entanto, os especialistas encontraram uma forma para desativar o JIT no Edge sem que o desempenho fosse afetado.

Testes do Edge sem o JIT apresentaram poucas alterações nos resultados. Divulgação: Microsoft

No laboratório, eles fizeram diversos testes — envolvendo energia, inicialização, memória e carregamento de página — com navegadores com e sem JIT. Os resultados foram surpreendentes: quase idênticos. Em outros casos, as navegações com o Edge sem o JIT apresentaram ainda melhoras em processos de energia, inicialização e memória.

Mas afinal de contas, vale a pena remover o JIT? A resposta dos pesquisadores do Edge é: depende. “A resposta para essa pergunta depende de vários fatores. Você está vendo um blog ou jogando um jogo online? Você está visitando um site confiável ou não confiável?”.

Nos próximos meses, os especialistas vão se debruçar nesses questionamentos para otimizar os testes do Modo Super Ultra Seguro do Edge. Mas se os experimentos forem confirmados, a descoberta poderá ser de grande importância para o universo do World Wide Web — o popular “www”.

Fonte: Microsoft Edge Vulnerability Research