A Microsoft quer tornar mais seguro para os usuários do Edge navegar e visitar sites desconhecidos aplicando automaticamente configurações de segurança mais fortes.
O novo recurso faz parte de várias atualizações de segurança na versão 104.0. 1293.47 anunciados este mês que são projetados para reduzir o risco para os cinco usuários do Edge enquanto eles se movem pela Internet.
O Edge foi projetado para dar aos usuários uma experiência de navegação completa usando tecnologias como JavaScript, de acordo com a Microsoft. “Por outro lado, esse poder pode se traduzir em mais exposição quando você visita um site malicioso”, escreveu o fornecedor ao delinear o recurso. “Com o modo de segurança aprimorado, o Microsoft Edge ajuda a reduzir o risco de um ataque aplicando automaticamente configurações de segurança mais conservadoras em sites desconhecidos e se adapta ao longo do tempo à medida que você continua a navegar.”
O modo de segurança aprimorado reduz vulnerabilidades relacionadas à memória desativando a compilação JavaScript just-in-time (JIT) e aplicando mais proteções de SO para o navegador, incluindo Proteção de pilha reforçada por hardware e Guarda de código arbitrário.
“Quando combinados, esses as alterações ajudam a fornecer ‘defesa em profundidade’ porque tornam mais difícil do que nunca para um site malicioso usar uma vulnerabilidade não corrigida para gravar na memória executável e atacar um usuário final”, escreveu a empresa.
Há um ano, a Microsoft realizou um experimento que incluiu a desativação da compilação JavaScript JIT para abrir caminho para mais proteções de segurança. Johnathan Norman, principal gerente de engenharia de segurança da Microsoft, escreveu em um post de blog na época que “os bugs do mecanismo JavaScript são um dos pilares para os invasores por vários motivos; eles fornecem primitivos de exploração poderosos, há um fluxo constante de bugs e a exploração desses bugs geralmente segue um modelo direto.”
JITs foram colocados em navegadores a partir de 2008 para acelerar tarefas específicas de JavaScript, pegando JavaScript de tipo livre e compilando-o em código de máquina antes de ser necessário e é útil em fazer o JavaScript funcionar melhor. No entanto, tal desempenho e complexidade podem resultar em mais bugs de segurança e mais patches; desativar o JIT pode ajudar a melhorar a segurança, escreveu Norman.
-
- A correção de dia zero do WebRTC do Chromium chega ao Microsoft Edge
-
- Canonical adiciona ajustes de instância ao Multipass, VMs Confidenciais ao Azure
- O Google manipula o Flutter multiplataforma e Dart para aumentar o desempenho, ferramentas
- Ubuntu em um telefone, alguém? UBports atinge a 18ª atualização estável, mas ainda é baseada em 16.04
- OK, Google: Unshackled from Windows, Edge team é livre para seguir onde o Chromium leva
-
Com o recurso de segurança aprimorado, o nível de segurança Básico será o padrão quando o modo de navegação “Aprimore sua segurança na web” – que é opcional – está habilitado nas configurações. A configuração Básica garante que a experiência do usuário nos sites mais populares da Web permaneça intacta enquanto adiciona mitigações de segurança para os sites visitados com menos frequência.
A mudança para o nível Equilibrado incluirá os novos recursos para esses horários , garantindo que a maioria dos outros sites funcione conforme o esperado. Se um usuário escolher o nível de segurança Strict, os recursos de segurança serão adicionados a todos os sites da Web – aqueles visitados com frequência e com pouca frequência – e isso pode significar que partes de alguns sites não funcionarão.
” No entanto, você ainda pode adicionar sites manualmente à lista de sites de exceção e a configuração do administrador corporativo ainda será aplicada, se houver”, escreveu a Microsoft. “O modo estrito não é apropriado para a maioria dos usuários finais porque pode exigir algum nível de configuração para que o usuário conclua suas tarefas normais.”
Além disso, os administradores corporativos podem usar as configurações da Diretiva de Grupo para incluir listas de “permitir” e “negar” para aumentar a segurança de seus usuários ao visitar determinados sites enquanto desativa o modo para outros.
Outro recurso de segurança permitirá que os usuários importem dados do Google Chrome durante o Edge’s First Run Experience – um recurso irritante que ocorre quando os usuários abrem o Edge pela primeira vez e mostra uma página de boas-vindas com informações, dicas e ações recomendadas para melhorar sua experiência com o navegador – sem ter o Chrome instalado.
Com o novo recurso, os usuários podem fazer login em sua conta do Google durante a experiência de primeira execução. O recurso pode ser desativado desativando a experiência de primeira execução com a política HideFirstRunExperience ou definindo AutoImportAtFirstRun como “DisabledAutoImport”, escreveu a Microsoft em suas páginas de políticas do Edge.
