Mercredi dernier, l’équipe Vulnerability Research de Microsoft Edge a annoncé qu’elle expérimente le mode Super Duper Secure dans le navigateur. La firme de Redmond veut désactiver le compilateur JavaScript et WebAssembly JIT pour activer des mises à niveau de sécurité plus avancées. L’entreprise souhaite réduire la surface d’attaque des exploits modernes qui se basent sur les failles JavaScript.
Super Duper Secure est disponible via Microsoft Edge Canary
« Nos tests qui ont mesuré les améliorations en matière de puissance ont montré une amélioration de 15% en moyenne et nos régressions ont montré une augmentation d’environ 11% de la consommation d’énergie. Pour la mémoire, les tests à l’impact négatif montrent une régression de 2,3%, mais un gain plus important sur les tests qui ont montré des améliorations »
Johnathan Norman, le responsable de la recherche sur les vulnérabilités de Microsoft Edge
Pour le moment, le mode « Duper Secure Mode » est disponible via edge://flags.
Dans ce même communiqué, Johnathan Norman en a profité pour ajouter que « les temps de chargement des pages affichent la baisse la plus importante avec des tests qui montrent des régressions d’environ 17% en moyenne. Les temps de démarrage, cependant, n’ont qu’un impact positif et aucune régression »
Le Super Duper Mode arrive sur Android et macOS
« Cela prendra un certain temps, mais nous espérons avoir la protection CET, ACG et CFG dans le processus de rendu. Une fois cette étape franchie, nous espérons trouver un moyen d’activer ces mesures d’atténuation de manière intelligente en fonction du risque et de permettre aux utilisateurs d’équilibrer les compromis », a indiqué Johnathan Norman.
Johnathan Norman
Selon les informations publiées par Norman sur son compte Twitter, des plans étaient en cours pour poster « Super Duper Mode » sur macOS et Android.
« Bien entendu, il ne s’agit que d’une expérience ; les choses sont susceptibles d’évoluer, et nous avons de nombreux défis techniques à relever. De plus, notre nom ironique devra probablement être remplacé par quelque chose de plus professionnel lorsque nous lancerons cette fonctionnalité »