マイクロソフトは、ブラウザのセキュリティを向上させることを目的とした実験を実施している。EdgeのJavaScript実行性能を低下させることで、
Microsoft Edge の脆弱性調査リーダーである Johnathan Norman 氏の投稿で説明されているように、ブラウザをクラックしようとする場合、JavaScript が最も魅力的なターゲットとなります。Google の V8 などのエンジンや、そこで使用されるジャストインタイム コンパイル (JIT) 技術では、「ほとんどの人が理解できないほど非常に複雑なプロセス」が使用され、コードの処理方法に「わずかなエラーの余地」があるためです。
V8 のような JavaScript は JIT と組み合わせて使用すると非常にスムーズに動作し、ブラウザー内でさまざまな楽しみを実現できるので、私たちはそれを受け入れています。
しかし、これはブラウザ内であらゆる種類の悪意ある行為が可能になることを意味します。ノーマン氏は、V8に対して発行されたCVEの45%がJITエンジンに関連しているというデータを引用しています。
ノーマン氏は、今日ではJITがブラウザのパフォーマンスに大きな違いをもたらすことはないと主張しています。また、V8のJITの存在が、代替的な緩和策の使用を妨げていることも指摘しています。
そのため、Microsoft は、JIT を無効にし、最終的には他のセキュリティ軽減策、具体的には制御フロー強制テクノロジ (CET) と任意コード ガードおよび制御フロー ガードを追加することで、Edge 用に「スーパー デューパー セキュリティ モード」と呼ばれるものを構築しようとしています。
クリックして拡大
「スーパーデューパーセキュリティモード」はすでに利用可能です。Edgeedge://flags/#edge-enable-super-duper-secure-modeに入力すると、ブラウザがセキュリティコントロールの長いリストを表示し、Microsoftの実験に参加した場合に何が失われるかを確認できます。
「もちろんこれは単なる実験です。状況は変化する可能性があり、克服すべき技術的課題も数多くあります」とノーマン氏は書いている。「また、機能としてリリースする際には、この冗談めいた名前をもっとプロフェッショナルなものに変更する必要があるでしょう。今のところは、引き続き楽しみながら進めていくつもりです。」
- Google、ウェブサイトやウェブアプリに不具合をもたらしたChromeブラウザのアラート変更を撤回
- Windows 11 向けの開発: Windows 10 向けの開発と似ていますが、角が丸いのでしょうか?
- マイクロソフトが終了日を決定、Internet Explorer は「ウォーキング・デッド」に格下げ
もっと「プロフェッショナルな」(つまり、あまりおかしくない)名前が良いかもしれません。あるいはそうでないかもしれません。
ブラウザの使用を促す執拗なブラウザソフトを含むWindows 10搭載マシン10億台以上にEdgeが組み込まれているにもかかわらず、Statcounter Global StatsによるとEdgeの市場シェアはわずか3.41%です。「スーパーデューパーセキュリティモード」のような楽しい名前は、セキュリティ対策の分かりにくい変更よりも、ユーザーにとって大きな違いをもたらすかもしれません。®
