Duitsland cyber-security agency) werkt aan een set van minimale regels die moderne web browsers moet voldoen om te worden beschouwd als veilig.
De nieuwe richtlijnen worden momenteel opgesteld door het Federaal Bureau voor informatiebeveiliging (of het duitse Bundesamt für Sicherheit in der Informationstechnik — BSI), en ze zullen worden gebruikt om te adviseren overheden en bedrijven uit de private sector op welke browsers zijn veilig te gebruiken.
Een eerste versie van deze richtlijn werd gepubliceerd in 2017, maar een nieuwe standaard is gezet samen om rekening te houden voor betere veiligheidsmaatregelen toegevoegd aan moderne browsers, zoals HST ‘ s, SRI, CSP 2.0, telemetrie behandeling, en verbeterde certificaat mechanismen voor afhandeling — al genoemd in een nieuw ontwerp uitgebracht in het publieke debat van vorige week.
Volgens de BSI is nieuw ontwerp, te worden beschouwd als ‘veilig’ is, een moderne browser moet aan de volgende eisen:
– Moet ondersteuning voor TLS
– Moet beschikken over een lijst van vertrouwde certificaten
– Moet ondersteuning voor extended validation (EV) certificaten
– Moet controleren of geladen certificaten tegen een Certification Revocation List (CRL) of een Online Certificate Status Protocol (OCSP)
– Moet de browser het gebruik van pictogrammen of kleur highlights te tonen bij de communicatie met een externe server is versleuteld of is op een leesbare tekst
– Verbindingen naar externe websites die draaien op verlopen certificaten moet alleen worden toegestaan na specifieke goedkeuring van de gebruiker
– Moet ondersteuning HTTP Strict Transport Security (HST ‘ s) (RFC 6797)
– Moet ondersteuning bieden voor Dezelfde Oorsprong Beleid (SOP)
– Moet ondersteuning bieden Content Security Policy (CSP) 2.0
– Moet ondersteuning voor Sub-bron integriteit (SRI)
– Moet ondersteuning voor automatische updates
– Moet ondersteunen is er een aparte update mechanisme voor de cruciale browser componenten en extensies
– Browser updates moet worden ondertekend en controleerbaar
– Browser het wachtwoord van de beheerder moet wachtwoorden opslaan in een versleutelde vorm
– Toegang tot de browser ingebouwde wachtwoordkluis moet alleen worden toegestaan nadat de gebruiker zich heeft ingeschreven voor een master-wachtwoord
– De gebruiker moet kunnen verwijderen, wachtwoorden van de browser het wachtwoord van de manager
– Gebruikers moeten kunnen blokkeren of verwijderen van cookies
– Gebruikers moeten in staat zijn te blokkeren of te verwijderen autoaanvullen-geschiedenis
– Gebruikers moeten kunnen blokkeren of browsegeschiedenis verwijderen
– Organisatie admins moet in staat zijn om te configureren of te blokkeren browsers van het verzenden van telemetrie/gebruik gegevens
– Browsers moet ondersteunen een mechanisme om te controleren op schadelijke inhoud/Url ‘ s
– Browsers moeten laten organisaties lokaal opgeslagen URL blacklists
– Moet de ondersteuning van een gedeelte instellingen waar gebruikers kunnen inschakelen/uitschakelen plugins, extensies, of JavaScript
– Browsers moeten kunnen importeren centraal-gemaakt configuratie-instellingen, ideaal voor grootschalige enterprise-implementaties
– Moet toelaten admins uitschakelen van cloud-gebaseerde synchronisatie van het profiel functies
– Moet uitvoeren na de initialisatie met een minimale rechten in het besturingssysteem
– Moet ondersteunen sandboxing. Alle browser-componenten moeten worden geïsoleerd van elkaar en van het besturingssysteem. De communicatie tussen de geïsoleerde onderdelen mag alleen geschieden via gedefinieerde interfaces. Directe toegang tot bronnen van geïsoleerde componenten mogen niet mogelijk.
– Webpagina ‘ s moeten worden geïsoleerd van elkaar, bij voorkeur in de vorm van stand-alone processen. Draad-niveau isolatie is ook toegestaan.
– Browsers moeten worden gecodeerd met behulp van programmeertalen die ondersteuning stack en heap-geheugen bescherming
De Browser moet de verkoper zorgen voor security updates niet langer dan 21 dagen na de openbaarmaking van een lek. Als de primaire browser verkoper nalatig is met het verstrekken van een security update, organisaties moeten verhuizen naar een nieuwe browser.
– Browsers gebruiken moet OS geheugen bescherming, zoals Address Space Layout Randomization (ASLR) of Preventie van gegevensuitvoering (DEP).
– Organisatie-beheerders moeten kunnen regelen of blokkeren van de installatie van niet-erkende add-ons/extensies.
Zodra dit ontwerp gaat door middel van een openbaar debat, is de verwachting dat de BSI zal uitbrengen van een openbaar document met een verklaring welke browsers voldoen aan de nieuwe criteria, zoals het deed in 2017 — document dat is nu achterhaald.
Maar naast regels voor wat beschouwd wordt als een “veilige browser” de BSI-richtlijn ook voorzien van een standaard “secure” configuratie voor browsers, die systeembeheerders kunnen gebruiken als een gids voor de implementatie van browsers in hun organisaties.
– Browsers moet ondersteuning voor TLS 1.2 of hoger
– Systeembeheerders moeten controleren of de lijst van de root ca ‘ s moeten worden beperkt of niet.
– Het gebruik van HST ‘ s moet worden geactiveerd voor alle websites. Uitzonderingen voor speciale sites en privacy vereisten zijn mogelijk.
– Cookies van derden mogelijk niet worden geaccepteerd.
– Plugin-uitvoering (zoals Flash, Java of anderen) is alleen toegestaan na bevestiging door de gebruiker (klik-om-te-spelen).
– Uitgebreide Media-Extensies (EME) moet worden uitgeschakeld als ze niet nodig zijn.
– De functie autoaanvullen moet worden uitgeschakeld.
– De synchronisatie van de gegevens (cookies, geschiedenis, bladwijzers, enz.) met externe opslag, diensten of locaties (cloud) moet worden uitgeschakeld.
– Centraal beheerde instellingen/configuraties moeten worden beschermd tegen onbevoegde gebruiker wijzigingen.
– Na het toepassen van de browser updates, admins moet controleren voor elke browser wijzigingen in de configuratie.
Meer browser dekking:
Microsoft rolt previews van Chroom-gebaseerd Rand voor Windows 7, 8, & 8.1
Microsoft Rand krijgt ‘Tracking Preventie’ functie
Mozilla: Probeer onze nieuwe Fenix op basis van Firefox voor Android browserBrave tart Google gaat naar de verlamde van ad-blocking met nieuwe 69x sneller Roest engineFirefox om een random password generator, zoals ChromeMicrosoft Rand Reddit AMA: Edge zou kunnen komen te LinuxHow gebruik van het Tor-browser op een Android-apparaat TechRepublicDappere privacy-eerste browser advertenties komen met de beloofde uitbetaling voor u CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters