Microsoft prépare un « Super Duper Security Mode » pour Edge

Afin d’améliorer la sécurité du navigateur Edge, les ingénieurs de Microsoft sont en train d’explorer une nouvelle piste : la désactivation de la compilation à la volée (ou Just-in-time compilation, JIT). Il s’agit là d’une fonction qui permet d’accélérer le chargement de pages contenant du code JavaScript. Ce dernier est transformé à la volée en bytecode, une représentation intermédiaire du programme qui se situe entre le code source et le code machine, puis exécuté selon un processus plutôt complexe.

Mais cette compilation à la volée est également source de nombreuses failles de sécurité. Depuis 2019, environ 45 % des failles du moteur JavaScript V8 sont liées au JIT. Inversement, et c’est un peu la double peine, la compilation à la volée empêche l’implémentation d’un certain nombre mécanismes de protection comme ControlFlow Enforcement Technology (CET) ou Arbitrary Code Guard (ACG).

Or, des tests réalisés par Microsoft montrent qu’il n’y a pas, en cas de désactivation du JIT, forcément des baisses de performances. Cela dépend du type de pages qui sont chargées. La baisse sera importante pour un jeu en ligne, mais quasi nulle pour un blog. Parfois, l’effet est même positif !