Afin d’améliorer la sécurité du navigateur Edge, les ingénieurs de Microsoft sont en train d’explorer une nouvelle piste : la désactivation de la compilation à la volée (ou Just-in-time compilation, JIT). Il s’agit là d’une fonction qui permet d’accélérer le chargement de pages contenant du code JavaScript. Ce dernier est transformé à la volée en bytecode, une représentation intermédiaire du programme qui se situe entre le code source et le code machine, puis exécuté selon un processus plutôt complexe.
Mais cette compilation à la volée est également source de nombreuses failles de sécurité. Depuis 2019, environ 45 % des failles du moteur JavaScript V8 sont liées au JIT. Inversement, et c’est un peu la double peine, la compilation à la volée empêche l’implémentation d’un certain nombre mécanismes de protection comme ControlFlow Enforcement Technology (CET) ou Arbitrary Code Guard (ACG).
Or, des tests réalisés par Microsoft montrent qu’il n’y a pas, en cas de désactivation du JIT, forcément des baisses de performances. Cela dépend du type de pages qui sont chargées. La baisse sera importante pour un jeu en ligne, mais quasi nulle pour un blog. Parfois, l’effet est même positif !
Les ingénieurs de Redmond sont donc en train de chercher l’équilibre entre une baisse de performance acceptable et un gain en sécurité souhaitable. Le résultat est une fonctionnalité expérimentale baptisée « Super Duper Security Mode » que l’on peut activer dans les versions Beta, Dev et Canary sous l’URL « edge://flags ». Actuellement, elle désactive le JIT et implémente le CET. D’autres changements sont prévus… dont le nom qui n’est évidemment que provisoire.
Source : Microsoft
Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…
Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…
La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…
L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…
Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…
Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…
This website uses cookies.