Німецька державна агенція з кібербезпеки BSI провела порівняльне тестування ряду розповсюджених браузерів та сформулювала ряд вимог до їхньої безпеки. Про результати тестування, в якому переміг Mozilla Firefox, повідомляють на ZDNet.
Firefox – єдиний браузер, який отримав найкращі оцінки в ході недавнього аудиту, проведеного німецьким агентством з кібербезпеки – Федеральним офісом Німеччини з питань захисту інформації (або Bundesamt für Sicherheit in der Informationstechnik – BSI).
BSI тестував Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 та Microsoft Edge 44. Програма тестування не включала інші браузери, таких як Safari, Brave, Opera або Vivaldi.
Аудит проводився з використанням правил, детально викладених у настанові щодо “сучасних захищених браузерів”, опублікованій BSI минулого місяця, у вересні 2019 року. BSI зазвичай використовує цей посібник, щоб консультувати державні установи та компанії приватного сектора щодо того, які браузери безпечні для використання. Німецьке агентство з кібербезпеки опублікувало перший посібник щодо безпеки браузерів у 2017 році, проте переглянуло та оновило технічні характеристики протягом літа. BSI оновило свій посібник для обліку вдосконалених заходів безпеки, доданих до сучасних браузерів, таких як HSTS, SRI, CSP 2.0, обробка телеметрії та вдосконалені механізми обробки сертифікатів.
Відповідно до нового посібника BSI, щоб вважатися “безпечним”, сучасний браузер повинен відповідати цим мінімальним вимогам:
– Повинен підтримувати TLS;
– Повинен мати список надійних сертифікатів. Повинен підтримувати сертифікати розширеної перевірки (EV). Потрібно перевірити завантажені сертифікати відповідно до списку відкликань сертифікації (CRL) або протоколу про статус онлайн-сертифіката (OCSP);
– Браузер повинен використовувати піктограми або кольорові виділення, щоб показувати, коли комунікація на віддаленому сервері зашифрована або коли вона перебуває у простому тексті. Підключення до віддалених веб-сайтів, які працюють на сертифікатах, що втратили чинність, повинні бути дозволені лише після конкретного схвалення користувача;
– Повинен підтримувати сувору безпеку трансферів HTTP (HSTS) (RFC 6797);
– Повинен підтримувати політику єдиного походження (SOP);
– Повинен підтримувати політику безпеки вмісту (CSP) 2.0;
– Повинен підтримувати цілісність субресурсів (SRI);
– Повинен підтримувати автоматичні оновлення. Також браузер має підтримувати окремий механізм оновлення для важливих компонентів та розширень браузера;
– Оновлення браузера повинні бути підписані та перевірені;
– Менеджер паролів браузера повинен зберігати паролі в зашифрованій формі. Доступ до вбудованого сховища пароля браузера повинен бути дозволений лише після введення користувачем головного пароля;
– Користувач повинен мати можливість видалити паролі з менеджера паролів браузера;
– Користувачі повинні мати можливість блокувати або видаляти файли cookie, а також історію автозаповнення;
– Користувачі повинні мати можливість блокувати або видаляти історію переглядів;
– Адміністратори організації повинні мати можливість налаштувати або заблокувати браузери для надсилання даних телеметрії / її використання. Браузери повинні підтримувати механізм перевірки шкідливості вмісту / URL-адрес;
– Браузері повинні дозволяти організаціям створювати локально збережені чорні списки URL-адрес;
– Потрібно підтримувати розділ налаштувань, у якому користувачі можуть вмикати / вимикати плагіни, розширення чи JavaScript. Браузери повинні мати можливість імпортувати створені централізовано налаштування конфігурації, які ідеально підходять для широкомасштабних корпоративних розгортань;
– Потрібно дозволити адміністраторам відключити функції хмарної синхронізації профілів;
– Потрібно запустити браузер його ініціалізації з мінімальними правами в операційній системі. Браузер має підтримувати пісочницю. Усі компоненти браузера повинні бути ізольовані один від одного та операційної системи. Зв’язок між ізольованими компонентами може відбуватися лише через визначені інтерфейси. Прямий доступ до ресурсів ізольованих компонентів не повинен бути можливим;
– Веб-сторінки потрібно ізолювати одна від одної, в ідеалі у вигляді автономних процесів. Допускається також ізоляція на рівні потоку;
– Браузери повинні бути написані мовами програмування, що підтримують захист пам’яті у стеках. Постачальник браузера повинен надавати оновлення безпеки не пізніше 21 дня після публічного оприлюднення недоліків у безпеці. Якщо основний постачальник браузера не надає оновлення безпеки, організації повинні перейти до нового браузера;
– Браузери повинні використовувати засоби захисту пам’яті ОС, такі як рандомізація розміщення адресного простору (ASLR) або запобігання виконанню даних (DEP). Адміністратори організації повинні мати можливість регулювати або блокувати встановлення несанкціонованих додатків/розширень.
За даними BSI, Firefox – єдиний браузер, який підтримує всі вищезазначені вимоги. Сфери, де інші браузери мають недоліки, включають:
– Відсутність підтримки механізму головного пароля (Chrome, IE, Edge);
– Немає вбудованого механізму оновлення (IE);
– Немає можливості блокувати збір телеметрії (Chrome, IE, Edge);
– Відсутня підтримка SOP (політики єдиного походження) (IE);
-Немає підтримки CSP (Content Security Policy) (IE);
– Немає підтримки SRI (Цілісність субресурсів) (IE);
– Немає підтримки профілів браузера, різних конфігурацій (IE, Edge);
– Відсутність організаційної прозорості (Chrome, IE, Edge).
Компанія Microsoft оголосила, що розширена підтримка для Office 2010 буде діяти до 13 жовтня 2020 року. Після цієї дати офісний пакет версії 2010 більше не буде отримувати оновлення безпеки.
Довгоочікуваний iPhone для масового сегмента ринку можуть таки запустити. Так вважає аналітик з розвитку високих технологій Мін Чі Куо, прогнози якого щодо Apple справджувалися у більшості випадків.
Після поновлення macOS з версії Mojave до Catalina багато користувачів зіткнулися з частковим або повним видаленням даних програми “Пошта”. Про це в своєму блозі розповів розробник плагінів EagleFiler і SpamSieve для додатка “Пошта” в macOS Майкл Цай.
Згідно з повідомленнями, блокування облікового запису настає приблизно через 30 хвилин після повідомлення про фейкові екаунти в Facebook. Судячи з усього, не має значення, про які екаунти йдеться, оскільки вони варіюються від повідомлень про померлих членів сім’ї до екаунтів знаменитостей і політиків
Оновлення прошивок маршрутизаторів мають дуже важливе значення для безпеки. У типових сценаріях використання бездротовий роутер є єдиним пристроєм, підключеним безпосередньо до Інтернету. Як перевірити, чи Ваш роутер досі підтримується виробником і для нього доступні оновлення безпеки, дізнайтесь зі статті.