Desativando a Otimização de JavaScript para Mais Segurança Contra Vulnerabilidades Zero-Day
Se você utiliza navegadores como Google Chrome, Microsoft Edge ou Firefox, existe uma configuração específica que pode ser desativada para melhorar drasticamente sua proteção contra as chamadas **vulnerabilidades zero-day**. Essas são falhas de segurança exploradas por hackers antes mesmo que os desenvolvedores lancem uma correção (patch).
Dependendo do seu navegador, essa configuração terá um nome diferente. No Chrome, por exemplo, ela é chamada de “Não permitir que os sites usem a otimização de JavaScript”.
Antes de alterar qualquer configuração, é crucial entender o que ela faz e quais são os possíveis *trade-offs*. Nunca altere uma configuração cegamente; compreenda as implicações primeiro. Embora eu recomende essa alteração pela melhoria de segurança, você deve saber o que esperar.
O Que é a Otimização de JavaScript e Por Que Ela é um Risco?
Atualmente, a maioria dos websites não consiste apenas em conteúdo estático; eles utilizam muito código JavaScript para criar elementos dinâmicos que mudam com base na sua interação.
Na busca incessante por carregar páginas mais rapidamente, os navegadores implementam um processo chamado **compilação** do código JavaScript. Você pode imaginar isso como traduzir o código para uma linguagem de máquina que o computador consegue ler mais rápido. Isso é conhecido como compilação “just-in-time” (JIT), pois ocorre logo antes da execução do código, e realmente acelera o JavaScript.
No entanto, essa etapa extra de processamento adiciona complexidade, o que, por sua vez, abre mais espaço para erros e *bugs*. É aí que reside o problema.
Análises realizadas, como uma da Mozilla sobre exploits recentes na época, indicaram que aproximadamente metade dos exploits no Google Chrome nos anos anteriores estavam diretamente ligados à compilação JIT. Esse número era ainda maior quando se consideravam as vulnerabilidades zero-day ativamente exploradas. Esse padrão de risco se observou em todos os navegadores.
A configuração em questão **não desativa o JavaScript**. Ela apenas impede as etapas extras que o aceleram. Com isso, na próxima vez que um exploit inevitável ocorrer nessa compilação JIT, você estará protegido, mesmo antes de um patch ser lançado.
É importante notar que, tecnicamente no Google Chrome, essa configuração específica não desativa completamente a compilação JIT, mas sim as **otimizações** dentro dela. Contudo, um desenvolvedor do Google mencionou em uma discussão sobre bugs que desabilitar essa otimização é quase equivalente a desabilitar a compilação totalmente em termos de segurança.
O *trade-off* principal é que o JavaScript não será executado tão rapidamente. Contudo, como os computadores modernos são muito mais rápidos do que quando essa tecnologia foi criada, é muito provável que você não perceba diferença alguma; estamos falando, geralmente, de milissegundos. Se você notar um site drasticamente lento, pode adicioná-lo como exceção. Em testes realizados pela Microsoft, não houve diferença significativa na média de desempenho ao desativar a compilação JIT, e em alguns casos, houve até melhoria.
Como Encontrar e Desativar a Configuração
A seguir, detalhamos como encontrar e gerenciar essa configuração nos principais navegadores.
Navegadores Baseados em Chromium (Chrome, Brave, Opera, Vivaldi)
Para todos esses navegadores, um método comum para acessar as configurações é digitar `about:settings` na barra de endereços.
1. Vá para a seção **Privacidade e Segurança** (o tema visual pode variar).
2. Acesse **Segurança**.
3. Procure pela opção que diz “gerenciar otimização e segurança de JavaScript” ou, no caso do Opera, “gerenciar V8 security” (V8 é o motor JavaScript).
4. No menu seguinte, você deve selecionar a opção **”Não permitir que os sites usem a otimização de JavaScript”** ou, alternativamente, “Otimizador V8”.
Nessa mesma página, você poderá adicionar exceções para sites que precisem de velocidade extra. Para usar *wildcards* em subdomínios (ex.: `*.site.com`), utilize a sintaxe com colchetes.
**Para desabilitar a compilação completamente (não apenas otimizações):**
Para esses navegadores, isso exige o uso de um argumento de inicialização específico ao executar o navegador. De forma mais avançada, você precisaria criar um atalho no Windows e adicionar esse argumento ao campo “Destino” do atalho. Lembre-se que, se usar um atalho, você precisará usá-lo sempre para iniciar o navegador com a configuração ativada.
**Versões Mobile:**
* **Android:** A configuração com nome semelhante pode ser encontrada na mesma localização, geralmente em Privacidade e Segurança.
* **iOS (Google Chrome):** A função equivalente é chamada **Modo de Bloqueio (Lockdown Mode)**, que parece bloquear a compilação JavaScript. Para outros navegadores iOS (como Brave), essa opção pode não estar disponível.
Microsoft Edge
No Edge, o procedimento é diferente e, em alguns aspectos, mais abrangente:
1. Acesse **Configurações**.
2. Vá para **Privacidade, pesquisa e serviços**.
3. Entre no menu **Segurança**. Você pode acessar este caminho diretamente através de um URL específico.
4. Procure e ative a opção **”Melhorar sua segurança na Web”**.
5. Selecione o nível **Estrito**. Embora o modo Balanceado seja o recomendado, a sugestão é usar o Estrito.
Se algum site começar a apresentar problemas ou se comportar de forma estranha, você pode alternar para Balanceado ou, mais facilmente, adicionar uma exceção clicando no ícone de cadeado ao lado da URL e desativando a segurança aprimorada apenas para aquele site.
É importante destacar que o modo de segurança aprimorada do Edge faz mais do que apenas desabilitar as otimizações de JavaScript: ele **desativa completamente a compilação JIT** e ativa outras proteções de segurança que os navegadores baseados em Chromium não oferecem nativamente dessa forma.
**Versões Mobile (Android e iOS):**
Inesperadamente, o Microsoft Edge móvel não parece oferecer a opção de usar o modo “Melhorar sua segurança na Web”.
Mozilla Firefox
No Firefox, não há uma configuração única e fácil. É necessário ajustar várias “flags” no editor avançado:
1. Digite **`about:config`** na barra de endereços.
2. Você precisará buscar e definir como **`false`** vários itens do tipo Booleano.
3. Se uma *flag* não existir (como a opção “trusted principles”), você deve clicar no botão de **mais (+)** à direita para criá-la e, em seguida, clicar duas vezes para alterar o valor para `false`.
Aviso: Esta lista de *flags* não é oficial e pode ser um exagero (overkill). Sugere-se enviar uma solicitação de funcionalidade à Mozilla para que adicionem um *toggle* mais simples.
**Versões Mobile (Android e iOS):**
As versões móveis do Firefox aparentemente não oferecem acesso ao menu `about:config`, o que sugere que não há como desabilitar a compilação JIT no Firefox para dispositivos móveis.
Safari (iOS, iPadOS, macOS)
No Safari, a única maneira conhecida de desabilitar a compilação JIT é ativar o **Modo de Bloqueio (Lockdown Mode)** no seu dispositivo inteiro. Isso é considerado excessivo (overkill), pois o Modo de Bloqueio desativa diversas outras funcionalidades do sistema operacional.
