Microsoft experimenteert met uitschakeling JavaScript-optimalisatie

Veel JavaScript-engines - zoals Google V8 die in de Chromium gebaseerde Edge-browser van Microsoft is verwerkt - maken gebruik van een optimalisatietechniek genaamd just in time compilatie (JIT). Het wordt wel gezien als het optimum tussen het gebruik van een snelle real-time interpreter en een veel efficiëntere compiler.

Maar de JIT-compilatie is gaandeweg een steeds complexer proces geworden dat nog maar door weinig mensen echt begrepen wordt en bovendien erg gevoelig is voor fouten. Dat biedt weer mogelijkheden voor kwaadwillenden. Zo is ongeveer 45% van alle CVE-geïndexeerde problemen met de V8-engine gerelateerd aan het gebruik van de JIT-engine, schetst IT-beveiligingsonderzoeker Johnathan Norman van Microsoft in een blog.

Volgens Norman is het gebruik van de JIT-engine tegenwoordig helemaal niet meer zo essentieel voor de prestaties van de browser als in het verleden. Bovendien, zo beargumenteert Norman, maakt het gebruik van de JIT-engine het inzetten van een aantal andere beveiligingstechnieken onmogelijk, zoals Controlflow-Enforcement Technology (CET), Arbitrary Code Guard en Control Flow Guard.

Experiment met een grappige naam

Daarom startte zijn team dit 'Super Duper Security Mode'-experiment. Het heeft een "provocerende" naam gekregen juist om aan te geven dat het gaat om een experiment waarmee het team 'lol' wil hebben en dat het nog in een te pril stadium verkeert voor een "officiële" naam.

Wie aan het experiment wil meedoen kan nu al in de Edge-browser 'edge://flags/#edge-enable-super-duper-secure-mode' intikken. Dan verschijnt ook een lijst met diensten die dan worden uitgeschakeld in het experiment. "Het is ook echt een experiment", benadrukt Norman. "Er gaan voortdurend dingen veranderen en we hebben nog heel wat technische uitdagingen waar we een oplossing voor moeten bedenken." Hij hoopt dat het experiment er uiteindelijk toe leidt dat er een browser ontstaat die kwaadwillenden veel minder mogelijkheden tot misbruik biedt.