Afin d’améliorer la sécurité du navigateur Edge, les ingénieurs de Microsoft sont en train d’explorer une nouvelle piste : la désactivation de la compilation à la volée (ou Just-in-time compilation, JIT). Il s’agit là d’une fonction qui permet d’accélérer le chargement de pages contenant du code JavaScript. Ce dernier est transformé à la volée en bytecode, une représentation intermédiaire du programme qui se situe entre le code source et le code machine, puis exécuté selon un processus plutôt complexe.
A découvrir aussi en vidéo :
Mais cette compilation à la volée est également source de nombreuses failles de sécurité. Depuis 2019, environ 45 % des failles du moteur JavaScript V8 sont liées au JIT. Inversement, et c’est un peu la double peine, la compilation à la volée empêche l’implémentation d’un certain nombre mécanismes de protection comme ControlFlow Enforcement Technology (CET) ou Arbitrary Code Guard (ACG).
Or, des tests réalisés par Microsoft montrent qu’il n’y a pas, en cas de désactivation du JIT, forcément des baisses de performances. Cela dépend du type de pages qui sont chargées. La baisse sera importante pour un jeu en ligne, mais quasi nulle pour un blog. Parfois, l’effet est même positif !
Les ingénieurs de Redmond sont donc en train de chercher l’équilibre entre une baisse de performance acceptable et un gain en sécurité souhaitable. Le résultat est une fonctionnalité expérimentale baptisée « Super Duper Security Mode » que l’on peut activer dans les versions Beta, Dev et Canary sous l’URL « edge://flags ». Actuellement, elle désactive le JIT et implémente le CET. D’autres changements sont prévus… dont le nom qui n’est évidemment que provisoire.
Source : Microsoft
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
