Режим Super Duper Secure Mode в Microsoft Edge

Что это и зачем

Super Duper Secure Mode (иногда сокращённо SDSM) — временное название функции, используемое внутри Microsoft и в флаге edge://flags. Цель — снизить атаки на JavaScript-движок V8 и связанные эксплойты. Ключевые механизмы:

• Отключение JIT (Just-In-Time) компиляции JavaScript, что уменьшает площадь для атак, связанных с исполнением сгенерированного кода.
• Включение аппаратных технологий защиты, таких как Control-flow Enforcement Technology (CET) на поддерживаемых CPU.

Определение: JIT — механизм, ускоряющий исполнение JavaScript путем компиляции часто выполняемых фрагментов в машинный код. CET — аппаратная функция для предотвращения подмены потока выполнения.

Как включить Super Duper Secure Mode

Эти шаги работают на Windows 10, Windows 11, macOS и Linux.

1. Откройте Microsoft Edge и нажмите меню с тремя точками в правом верхнем углу. Перейдите в Настройки.
   
2. Откройте раздел Конфиденциальность, поиск и службы.
3. Прокрутите до секции Повысить безопасность в интернете (Enhance your security on the web) и включите переключатель. В старых версиях раздел может называться Включить меры защиты для более безопасной работы браузера.
   

После включения по умолчанию активен профиль Balanced. Он добавляет защитные меры для редко посещаемых сайтов и сохраняет работоспособность большинства страниц. Если нужно жёстче, выберите Strict — он применяет защиты ко всем сайтам, но некоторые функции страниц могут перестать работать.

Раздел Исключения позволяет указать сайты, которые будут освобождены от дополнительных мер защиты. Добавляйте сюда только доверенные ресурсы, если какая-то нужная функция перестала работать.

Влияние на производительность и совместимость

• Производительность. Отключение JIT может снизить скорость выполнения тяжёлого JavaScript, но Microsoft отмечает, что в ряде случаев заметного ухудшения нет. Эффект зависит от типа сайтов и скриптов.
• Совместимость. Strict проще ломает части сложных веб-приложений. Balanced минимизирует такие риски, применяя ограничения только к подозрительным или редко посещаемым сайтам.

Важно: тестируйте в своём рабочем окружении. Для критичных веб-приложений используйте Exceptions.

Когда это может не подойти

• Разработчики и тестировщики, которым нужна точная производительность JIT: отключение JIT исказит метрики.
• Сайты с нестандартными плагинами или устаревшими компонентами: Strict может вызвать ошибки исполнения.
• Окружения, где каждая миллисекунда важна (например, высокочастотная торговля через веб-интерфейсы). Для большинства обычных пользователей это не критично.

Альтернативные и дополнительные меры безопасности

• Используйте сочетание SDSM и расширений безопасности (например, блокировщики трекеров). SDSM закрывает класс уязвимостей уровня исполнения, расширения — повышают приватность.
• Разделяйте профили: один профиль для работы с доверенными сайтами, другой — для общего серфинга с включённым SDSM.
• Серверная защита и Content Security Policy (CSP): усиливают защиту приложений со стороны сервера.

Психологическая модель: как думать о SDSM

Представьте браузер как дом с двумя дверями: JIT — широкая ворота для быстрого прохода, но она оставляет щели; SDSM закрывает часть ворот и ставит бронированные ставни (CET), что замедляет проход, но снижает шанс проникновения.

Эвристика: включайте SDSM для обычного серфинга и отключайте (или добавляйте в исключения) для сайтов, где требуется полная функциональность.

Краткая памятка для ролей

• Обычный пользователь:
  • Включите режим и оставьте Balanced, если не возникают проблемы.
  • Добавляйте в Исключения только проверенные сайты.
• Системный администратор:
  • Протестируйте веб-приложения в среде с включённым Strict и Balanced.
  • Документируйте исключения и требования к совместимости.
• Веб-разработчик:
  • Тестируйте на выключенном JIT и с CET, чтобы выявить потенциальные поломки.
  • Добавьте в CI тесты, симулирующие отключённый JIT.

Мини‑методология для безопасного включения в организации

1. Проведите инвентаризацию ключевых веб-приложений.
2. Включите SDSM в тестовой группе на Balanced.
3. Соберите отчёты о совместимости и производительности в течение 1–2 недель.
4. Перенесите в массовый деплой, сохраняя список исключений.
5. Для критичных сервисов создайте процедуру отката (включить исключение или вернуть режим в прежнее состояние).

Факт‑бокс

• Платформы: Windows 10, Windows 11, macOS, Linux.
• Основные технологии: отключение JIT V8, включение CET (там, где поддерживается аппаратно).
• Режимы: Balanced (рекомендуется), Strict, Exceptions для отдельных сайтов.

Критерии приёмки

• Balanced не ломает ключевые рабочие сценарии в течение 7 рабочих дней тестирования.
• Время ответа основных страниц не увеличилось более чем на приемлемый порог (определяется организацией).
• Документированы все добавленные в Исключения сайты и причины.

Частые вопросы

Q: Уменьшит ли режим скорость браузера?
A: В некоторых случаях да, особенно на сайтах с тяжёлыми JavaScript-расчётами. В большинстве повседневных сценариев разница небольшая.

Q: Работает ли SDSM на старом процессоре без CET?
A: Да, базовые механизмы (отключение JIT) работают, но аппаратные mitigations, такие как CET, требуют поддержки CPU.

Q: Можно ли включить SDSM через групповые политики?
A: Microsoft постепенно добавляет администраторские настройки — проверяйте официальную документацию и административные шаблоны для Edge.

Резюме

Super Duper Secure Mode — полезный инструмент для повышения безопасности браузера. Он полезен большинству пользователей и особенно тем, кто ценит безопасность выше небольшой потери производительности. Для критичных приложений применяйте тестирование и используйте механизм Исключений, чтобы сохранить функциональность.

Важно: включайте режим постепенно, тестируйте и документируйте исключения.

Поделитесь в комментариях, какие функции безопасности Edge вы используете и какие проблемы встретились при включении режима.