Thought Leadership
In einem Versuch Microsoft Edge sicherer zu machen, experimentiert das Microsoft Vulnerability Research Team damit, die Just-in-Time (JIT) Compilation in der V8 JavaScript-Engine des Browsers, zu deaktivieren und bezeichnet das Ergebnis vorerst als „Super Duper Secure Mode“.
Das ergibt auf dem ersten Blick Sinn. Knapp die Hälfte der für V8 bekannten Schwachstellen und Anfälligkeiten (CVE) beziehen sich auf den JIT-Compiler und mehr als die Hälfte aller „in-the-Wild“ Exploits für Chrome nutzen Fehler in JIT aus. (Moderne Versionen von Edge basieren auf dem gleichen Chromium Code wie Googles Chrome-Browser, sodass Chrome-Exploits ebenfalls Edge betreffen). Microsoft spekuliert also, ob es nicht das simpelste wäre das problematische Sub-System einfach zu deaktivieren und zu schauen was dann passiert.
Das Problem dabei ist, dass bei der Deaktivierung von JIT die Surfgeschwindigkeit leidet. JIT ist ein Performance-Feature, dass die Ausführung von JavaScript (die beliebteste Computersprache der Welt) beschleunigt. Da sie hinter so vielen Webanwendungen steckt, wirkt sich die Geschwindigkeit, mit der JavaScript ausgeführt wird, direkt darauf aus, wie schnell und reaktionsfähig Webanwendungen sind. Aber wie groß ist der Unterschied? Das hat das Team rund um Pieter Arntz von Malwarebytes untersucht.
Nur noch halb so schnell
Das Team hat die letzte offizielle Version von Edge (Version 92.0.902.67) mit der letzten verfügbaren Microsoft Edge Beta (Version 93.0.961.11) jeweils mit aktiviertem und deaktiviertem Super Duper Secure Mode verglichen. Bei den Tests hat Malwarebytes festgestellt, dass die Geschwindigkeitsunterschiede zwischen der letzten offiziellen Version und der Beta-Version nur minimal waren, daher haben wir sie in den Ergebnissen nicht berücksichtigt. Die Tests wurden in einer Virtuellen Maschine (VM) mit einer langsamen Verbindung durchgeführt. Als Benchmark haben wir Sunspider 1.0.2 verwendet.
Die Ergebnisse zeigen, dass sich die JavaScript-Ausführung bei aktiviertem JIT um den Faktor 1,88 beschleunigt. Die Deaktivierung von JIT macht also die JavaScript-Verarbeitung in Edge sicherer, den Browser im Gegenzug aber halb so schnell.
Einige Anmerkungen:
- Der Benchmark testet nur die JavaScript-Sprache selbst, aber es gibt sehr viel mehr Dinge, die die Surfgeschwindigkeit beeinflussen als nur JavaScript. Das bedeutet also nicht, dass das normale Surfen in allen Fällen dadurch doppelt so langsam wird!
- Der Test wurde mehrere Male wiederholt, und obwohl es Unterschiede gab, waren diese generell minimal. (Die Ergebnisse variierten zwischen 1,87-facher und 1,90-facher Geschwindigkeit, wenn JIT aktiviert wurde)
Microsoft behauptet, dass Nutzer des Super Duper Secure Modes kaum einen Unterschied beim täglichen Surfen bemerken. Es hängt wahrscheinlich von der Art der Website(s) ab die besucht werden, welche anderen Tätigkeiten gerade verrichtet werden, usw. Dazu muss aber gesagt werden, dass Tools, die die Web Performance messen – einschließlich der Core Web Vitals von Google – JavaScript eine große Bedeutung zukommen lassen, denn ein langsames JavaScript kann tiefgreifende Auswirkungen auf die Benutzererfahrung haben.
Eine dauerhafte Lösung?
Die Allgemeinheit wird nicht bereit sein, Geschwindigkeit für mehr Sicherheit zu tauschen. Microsoft wird daher irgendwann den Nutzern eine Alternative bieten müssen. Was wären die Alternativen? Microsoft könnte beschließen die Ursache des V8-Fehlers zu finden und zu beheben. Falls zu einer komplett anderen JavaScript Engine gewechselt wird, gibt es vier Auswahlmöglichkeiten: Chakra oder ChakraCore, die von Microsoft für ihren Edge Legacy Webbrowser entwickelt wurden, oder Duktape und Moddable.
Do-it-yourself
Wer selbst den Super Duper Secure Mode ausprobieren möchte, braucht eine der Microsoft Edge-Vorabversionen (Beta, Dev oder Canary). Wenn eine der genannten genutzt wird, muss einfach edge://flags/#edge-enable-
de.malwarebytes.com
