Microsoft sta lavorando a una nuova modalità Super Duper Secure per Edge: ecco di cosa si tratta e come provarla subito.
23 NOVEMBRE 2021 | Con il rilascio della versione 96 di Edge sul canale stabile, la modalità Super Duper Secure è ora disponibile per tutti gli utenti. È sufficiente recarsi in Impostazioni > Privacy, ricerca e servizi e attivare Abilita le mitigazioni di sicurezza per un’esperienza browser più sicura.
26 AGOSTO 2021 | La modalità Super Duper Secure di Edge è stata aggiornata ed è ora disponibile anche su macOS. L’attivazione richiede al momento Edge Canary in versione 94.0.992.0 e più recenti. Inoltre, l’azienda ha comunicato diverse migliorie implementate, che includono:
- Gli utenti Windows avranno l’ACG abilitato
- Alcuni siti più famosi, come YouTube e Facebook, avranno la SDSM disabilitata, almeno per il momento
- 1Password dovrebbe funzionare correttamente ora, anche quando è attiva la modalità Super Duper Secure
17 AGOSTO 2021 | Microsoft continua a lavorare alla Super Duper Secure Mode: con l’ultimo aggiornamento di Edge Canary è stata introdotta una nuova flag che controlla la visualizzazione di una nuova opzione dedicata alla funzionalità. In particolare, recandosi in edge://flags/#edge–saya e abilitando la flag relativa, nelle impostazioni di Edge, in Privacy, ricerca e servizi > Sicurezza si avrà l’opzione Enable security mitigations for a more secure browser experience. La voce delle impostazioni recita:
L’abilitazione di questa opzione disabiliterà il compilatore JIT e abiliterà nuove mitigazioni di sicurezza come ACG e CET per fornire un’esperienza di navigazione più sicura. Di conseguenza, potresti sperimentare prestazioni del browser leggermente più lente.
L’opzione è disponibile in Microsoft Edge Canary in versione 94.0.985.0 e più recenti.
Progetto Super Duper Secure Mode in Edge
Con l’intento di migliorare la sicurezza del proprio browser e renderlo il più possibile libero da exploit, Microsoft sta lavorando a una nuova modalità per Edge che punta a disabilitare JIT e abilitare CET. La scelta di disabilitare JIT (Just-In-Time Compilation) deriva da una ricerca di Mozilla che ha evidenziato come la maggior parte degli exploit di Chrome hanno sfruttato un bug di JIT. I JIT sono stati introdotti nei browser nel 2008 per accelerare compiti specifici in JavaScript; i motori abilitati al JIT effettivamente prendono JavaScript a tipizzazione libera e lo compilano in codice macchina appena prima che sia necessario. Il codice JavaScript è ottimizzato attraverso una serie di complesse pipeline di elaborazione e questi cambiamenti si traducono in guadagni di prestazioni abbastanza impressionanti. Tuttavia:
Prestazioni e complessità hanno spesso un costo, e spesso sopportiamo questo costo sotto forma di bug di sicurezza e successive patch. Guardando i dati CVE (Common Vulnerabilities and Exposures) dopo il 2019 si vede che circa il 45% dei CVE emessi per V8 erano legati al motore JIT. Inoltre, sappiamo che gli aggressori armano e abusano anche di questi bug; un’analisi di Mozilla mostra che oltre la metà degli exploit “in the wild” di Chrome ha abusato di un bug JIT, come illustrato nei grafici qui sotto. Nota “Edge” sotto si riferisce alla versione legacy di Edge.
Nei prossimi mesi, Microsoft cercherà di capire se con l’esperimento Super Duper Secure Mode (SDSM) è viabile e il rinunciare alle prestazioni fornite da JIT valga il guadagno di un‘esperienza libera da bug ed exploit. Attualmente, la SDSM disabilita JIT (TurboFan/Sparkplug) e abilita CET. Al momento, Web Assembly non è supportato in questa modalità. Microsoft conta di abilitare nuove mitigazioni e di aggiungere il supporto di Web Assembly nei prossimi mesi, mentre continuano i test e la sperimentazione. Per maggiori informazioni vi invitiamo a leggere il blog post ufficiale di Microsoft che trovate in fonte.
Abilitare subito la modalità Super Duper Secure in Edge
Questa procedura funziona attualmente solo per le versioni Insider di Edge; Microsoft sta lavorando per rendere la funzionalità disponibile pubblicamente, anche se probabilmente ci vorrà ancora diverso tempo. Ecco cosa dovete fare:
- Aprite Microsoft Edge.
- Nella barra degli indirizzi, digitate edge://flags.
- Nella barra di ricerca contrassegni della pagina Esperimenti, cercate “Super Duper Secure Mode“.
- Una volta individuata la flag, impostatela su Enabled e riavviate il browser.
A questo punto, quando avvierete nuovamente il browser potrete notare i miglioramenti in Microsoft Edge.
NOTA | La flag relativa all’abilitazione di questa modalità è al momento disponibile in Edge nei canali Beta, Dev e Canary, che potete scaricare dal link in fondo all’articolo.
Vi interessa questa nuova modalità di Edge? La ritenete una novità interessante per il browser di Microsoft? Diteci cosa ne pensate a riguardo nei commenti.
Guida di Windows Blog Italia
Fonti | Microsoft, Reddit, @spoofyroot