`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

В аудите браузеров Офиса кибербезопасности Германии лидировал Firefox

+11
голос

В аудите браузеров Офиса кибербезопасности Германии лидировал Firefox

Firefox единственный из браузеров получил максимальные баллы в аудите, который недавно проводил Федеральный офис информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik — BSI). Всего германскими экспертами тестировались четыре веб-браузера: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44. За бортом остались все прочие браузерные программы, в том числе Safari, Brave, Opera или Vivaldi.

В ходе испытаний проверялось соответствие этих программ требованиям, изложенным в руководстве по «современным безопасным браузерам», которое BSI опубликовал в сентябре 2019 года. BSI применяет этот документ, чтобы рекомендовать государственным и частными организациям браузеры, безопасные в использовании.

Первая редакция руководства по безопасным браузерам вышла в Германии в 2017 году. Этим лето она была пересмотрена с учётом новейших технологий обеспечения безопасности, таких как HSTS, SRI, CSP 2.0, обработка телеметрии и улучшенные механизмы работы с сертификатами.

Согласно информации BSI, только Firefox смог продемонстрировать соответствие необходимому минимуму обновлённых требований к «безопасному», браузеру. В их число входят: поддержка TLS, HTTP Strict Transport Security (HSTS) (RFC 6797), Same Origin Policy (SOP). Content Security Policy (CSP) 2.0, Sub-resource integrity (SRI). Браузер должен иметь защиту памяти уровня ОС, изолировать (лучше всего в виде отдельных процессов) открытые веб-страницы, проверять загруженные сертификаты по списку аннулированных сертификаций (CRL) или по протоколу онлайнового статуса сертификатов (OCSP), поддерживать автоматические обновления, шифровать записи в менеджере паролей и удалять их при необходимости, также как файлы куки, историю автозавершений и посещений страниц, и многое другое.

Не прошедшие аудит браузеры имели следующие упущения:

  • отсутствовала поддержка мастер-пароля (Chrome, IE, Edge);

  • не было встроенного механизма обновлений (IE);

  • не предусмотрено блокирование сбора телеметрии (Chrome, IE, Edge);

  • нет поддержки SOP (IE), CSP (IE), SRI (IE);

  • не предусмотрено профилей браузера, различных конфигураций (IE, Edge);

  • отсутствует организационная прозрачность (Chrome, IE, Edge).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT