Niemiecka agencja rządowa przetestowała przeglądarki internetowe. Zarekomendowano tylko jedną

Maksym SłomskiSkomentuj
Niemiecka agencja rządowa przetestowała przeglądarki internetowe. Zarekomendowano tylko jedną
Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji, agencja rządowa zajmująca się sprawami związanymi z cyberbezpieczeństwem, wzięła pod lupę przeglądarki internetowe. Przedstawiciele Bundesamt für Sicherheit in der Informationstechnik (BSI) przetestowali pod kątem bezpieczeństwa łącznie cztery programy – na tapecie znalazły się Mozilla Firefox 68, Google Chrome 76, Microsoft Internet Explorer 11 i Microsoft Edge 44.

Wszystkie pomiary odbywały się zgodnie z opublikowanym miesiąc temu dokumentem, w którym BSI zawarło wytyczne dla nowoczesnych przeglądarek internetowych. Zawarto w nim cechy, które powinny charakteryzować rozwiązania bezpieczne. Zdaniem Niemców „bezpieczna przeglądarka” powinna między innymi:

– Musi zezwalać administratorom na wyłączanie funkcji synchronizacji profilu w chmurze
– Musi działać po inicjalizacji z minimalnymi uprawnieniami w systemie operacyjnym. Musi obsługiwać tryb sandbox. Wszystkie składniki przeglądarki muszą być odizolowane od siebie i systemu operacyjnego. Komunikacja między izolowanymi komponentami może odbywać się tylko za pośrednictwem zdefiniowanych interfejsów. Bezpośredni dostęp do zasobów izolowanych komponentów jest zabroniony.
– Strony internetowe muszą być od siebie odizolowane, najlepiej w formie niezależnych procesów. Dozwolona jest również izolacja na poziomie wątków.
– wspierać TLS
– pozwalać kasować hasła z poziomu menadżera haseł
– umożliwiać użytkownikom blokowanie albo kasowanie plików cookie
– korzystać z funkcji systemowego zabezpieczania pamięci jak ASLR lub DEP
– pozwalać na korzystanie z lokalnych czarnych list URL
– wspierać HTTP Strict Transport Security (HSTS) (RFC 6797)
– weryfikować wczytywane certyfikaty poprzez Certification Revocation List (CRL) lub Online Certificate Status Protocol (OCSP)

Jedyną przeglądarką spełniającą wszystkie wymagania minimalne agencji okazała się Mozilla Firefox. Inne przeglądarki poległy w wielu różnych aspektach. Przykładowo:

– żadna prócz Firefoxa nie oferowała funkcji hasła głównego
– żadna prócz Firefoxa nie pozwalała na blokowanie telemetrii
– tylko Firefox oferował pełną przejrzystość organizacyjną
– IE i Edge nie oferowały różnych profili i konfiguracji
– w IE brakowało wsparcia dla SOP, CSP i SRI, a nawet mechanizmu aktualizacji

Szkoda, że Niemcy nie przetestowali popularnych alternatyw dla wyżej wymienionych przeglądarek. Wiele osób byłoby na pewno zainteresowanych wynikami, jakie w badaniu uzyskałyby Safari, Brave, Opera, czy też Vivaldi.

Źródło: BSI, ZDnet

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.