Microsoft voorziet standaardversie Edge van "Super Duper Secure Mode"
Microsoft heeft de standaardversie van Edge voorzien van een "Super Duper Secure Mode" die gebruikers tegen kwetsbaarheden in de browser moet beschermen door een specifiek onderdeel uit te schakelen. Veel van de beveiligingslekken waar op Chromium gebaseerde browsers zoals Edge mee te maken hebben bevinden zich in de V8 JavaScript-engine die browsers gebruiken voor het uitvoeren van JavaScript.
Het gaat dan met name om het deel dat voor "Just-In-Time Compilation" (JIT) verantwoordelijk is. JIT is ontworpen om het uitvoeren van bepaalde JavaScript-taken te versnellen. Hiervoor wordt JavaScript voordat het wordt gebruikt gecompileerd in machine code. Wanneer de browser deze code nodig heeft is het aanwezig, wat een groot prestatievoordeel biedt.
"Prestaties en complexiteit hebben een prijs", aldus Microsofts Johnathan Norman. Dit is vaak te zien in de vorm van kwetsbaarheden en daaropvolgende beveiligingsupdates. Bijna de helft van alle kwetsbaarheden in de V8-engine hebben met het JIT-gedeelte te maken. Microsoft ontwikkelde daarom de "Super Duper Secure Mode" waarbij het JIT binnen Edge wordt uitgeschakeld.
Uit onderzoek dat het Edge-team uitvoerde bleek dat het uitschakelen van JIT nauwelijks merkbaar voor gebruikers is. Verder blijkt het uitschakelen van JIT niet alleen beveiligingsvoordelen te hebben, ook qua stroomverbruik zijn er verbeteringen zichtbaar.
In augustus was de beveiligingsfeature beschikbaar in de testversies van Edge, maar die is nu ook in de standaardversie van de browser uitgerold. Gebruikers kunnen daarbij uit twee opties kiezen. De eerste is Balanced, waarbij JIT op nieuwe, niet vaak bezochte sites wordt uitgeschakeld en Strict, waarbij JIT op alle sites uitstaat.
Link naar de oorspronkelijke blog post: https://microsoftedge.github.io/edgevr/posts/Super-Duper-Secure-Mode/
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:
https://github.com/klinix5/InstallerFileTakeOver
MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!
Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:
https://github.com/klinix5/InstallerFileTakeOver
MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!
Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
Laatste tijd? Printergate kwetsbaarheid zat al in de eerste Windows versie die met print spooler service werd geleverd
Alleen het woord "super duper" geeft me al ongemakkelijke kriebels.
Alsof ik een reclame in een pulp magzine uit de jaren '40 van de vorige eeuw aan het lezen ben.
Er is maar een veiligheid, en dat is er eentje die je zelf kunt controleren, per definitie is closed source nooit veilig te noemen, omdat je het gewoon niet kunt testen.
(Behalve dan in India, daar zitten bedrijven die een test resultaat ok afgeven, ook als de test niet is gedaan)
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:
https://github.com/klinix5/InstallerFileTakeOver
MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!
Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
Ja je kunt gewoon zien dat ze vol inzetten op cloud diensten, net als Apple. Enige wat ze niet doorhebben is dat ze daar niets bijzonders leveren en als er een Europees initiatief komt, de klanten weg stromen. En dan hebben ze niet meer hun proprietary/monopolistische producten om op terug te vallen.
Het is eigenlijk niet te begrijpen dat een voorstel, met veel spoed gemaakt door Netscape in 1993 !!!, nu nog steeds wordt gebruikt. JS bevat zoveel onzin, dat is niet te begrijpen, en een compiler ervoor ontwikkelen (V8), dat daardoor ook zoveel bugs bevat, dat is wederom niet te begrijpen.[2]
In deze situatie zitten we nu. Het is jullie taak om deze situatie een keer op te gaan lossen. Maak een web 2.0 of zoiets, haal er alle onzin uit en je zal zien dat het in no-time serieus ontvangen gaat worden.
Ik ben het eens dat MS niet het antwoord zal zijn om hun shit op te gaan lossen. Ze kunnen het niet. Ze zijn met teveel mensen eraan bezig. En Google kan het ook niet. Die hebben hetzelfde probleem. Dus zullen jullie het moeten doen.
[1] https://en.wikipedia.org/wiki/JavaScript
[2] Jongens, stop eens een keer met C of C++. Kijk een keer naar alternatieven. Zoals vlang.io bv, maar er zijn er veel meer.
Ha ha, voorlopig zit er nog een en waarschijnlijk twee hele dikke zero day's in Microsoft Edge elevation service:
https://github.com/klinix5/InstallerFileTakeOver
MS maakt er de laatste tijd weer een ouderwets zooitje van op beveiligingsgebied. Eerst printergate en exchange ellende en nu opnieuw een niet werkende patch!
Als veiligheid cruciaal is, moet je absoluut niet bij MS zijn. Zoveel is duidelijk.
Typ in de adresbalk, about:config.
Accepteer de waarschuwing
zet de volgende items op FALSE door op de items te dubbelklikken:
javascript.options.baselinejit
javascript.options.ion
javascript.options.wasm
javascript.options.asmjs
Sluit de browser af. Klaar.
Let op: deze instellingen zijn wel voor eigen risico.
#ROFL (over een contradictio in terminus gesproken)
Dat zou betekenen dat die JIT niet werkt en zijn doel niet bereikt. Immers het doel is om de boel efficienter te laten
werken, en als dat functioneert dan betekent het dat er voor hetzelfde gebruik minder CPU power gebruikt wordt en
dus minder stroom. Als dat in de praktijk niet zo is dan is het tijd voor een redesign (wellicht zonder JIT).
bedankt, Beuswas
Typ in de adresbalk, about:config.
Accepteer de waarschuwing
zet de volgende items op FALSE door op de items te dubbelklikken:
javascript.options.baselinejit
javascript.options.ion
javascript.options.wasm
javascript.options.asmjs
Sluit de browser af. Klaar.
Let op: deze instellingen zijn wel voor eigen risico.
@ Anoniem, 11:15 uur:
Dank je wel voor deze tip!
Vandaag gelukkig weer iets positiefs gelezen hier. Door jouw reactie waande ik mij even terug in de tijd hier op Security.nl anno 2011.
Leuk detail is dat ik dit bericht tik op Seamonkey onder Windows 10. Standaard gebruik ik Firefox, maar ik moet zeggen dat Seamonkey ook uitermate bruikbaar is. En het doet weer denken aan de goede oude tijd, want Seamonkey lijkt nog steeds heel erg op Netscape vroeger. Even terug in de tijd, zeg maar.
Ja, het oogt ouderwets dus, maar ik gebruik Seamonkey nog tien keer liever dan Edge (of elk andere browser met de Blink engine).
bedankt, Beuswas
Machinecode wordt rechtstreeks door de CPU van een computer uitgevoerd. Een JIT-compiler zet delen van de broncode (JavaScript) om naar machinecode op het moment dat die uitgevoerd moet worden, vandaar "Just-In-Time".
Een interpreter zet code helemaal niet om naar machinecode, maar kijkt in plaats daarvan welke JavaScript-instructies er staan en en voert de acties die daarbij horen zelf uit.
Op zich is gecompileerde code (machinecode) veel sneller dan geïnterpreteerde code, maar compileren zelf kost ook tijd. Als compileren plus uitvoeren van de machinecode samen meer tijd kost dan dezelfde code geïnterpreteerd uitvoeren (wat heel goed kan), dan heeft compileren pas zin als je de machinecode vervolgens meerdere keren uitvoert. Kennelijk constateert Microsoft dat dat bij webpagina's vaak niet zo uitpakt, waardoor interpreteren dan gunstiger is.
Dat in de JIT-gecompileerde versie allerlei beveiligingsfouten zitten die in de geïnterpreteerde versie niet optreden betekent volgens mij dat de JIT-compiler of iets dat bij het uitvoeren van de gecompileerde code wordt gebruikt zelf behoorlijk buggy moet zijn. Dat is geen wetmatigheid, er bestaan zeer robuuste compilers, en ook zeer robuuste JIT-compilers. Ik denk dan ook dat je deze conclusie over Edge niet zomaar op Firefox kan toepassen, die gebruikt een andere JavaScript-implementatie, die helemaal niet per se dezelfde problemen hoeft te hebben als die van Edge.
Log daarnaast in als een gast gebruiker in windows en zet tevens de SRP policies aan dat je niks mag opstarten wat niet toegestaan is en ook niks geinstalleerd mag worden.
Link naar de oorspronkelijke blog post: https://microsoftedge.github.io/edgevr/posts/Super-Duper-Secure-Mode/
Ik heb Edge uitgeschakeld dus geen enkel probleem met deze privacy schender.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
