德国联邦信息安全办公室(German Federal Office for Information Security,简称 BSI)对Firefox,Chrome,IE 和 Edge进行了测试,Firefox 在测试中获得了最高分,也是唯一通过所有强制性安全功能最低要求的浏览器。
BSI 对 Mozilla Firefox 68(ESR),Google Chrome 76,Microsoft Internet Explorer 11 和Microsoft Edge 44 进行了测试,测试不包括 Safari,Brave,Opera 或 Vivaldi 等其他浏览器。测试是使用 BSI 于2019年9月发布的“现代安全浏览器”指南中详述的规则进行的,BSI通常使用本指南就「如何安全使用浏览器」向政府机构和私营部门的公司提供建议。
这家德国网络安全机构于 2017 年发布了第一条安全浏览器指南,并在夏季对规范进行了审查和更新,以解决现代浏览器(例如HSTS,SRI,CSP 2.0),遥测处理和改进的证书处理机制中添加的改进的安全措施。
根据 BSI 的新指南(被认为是“安全的”),现代浏览器必须满足以下最低要求:
- 必须支持TLS
- 必须具有受信任证书的列表-必须支持扩展验证(EV)证书
- 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书
- 浏览器必须使用图标或颜色突出显示以显示何时加密到远程服务器的通信或采用明文
- 格式- 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站-必须支持HTTP严格传输安全性(HSTS)(RFC 6797)
- 必须支持Same原始策略(SOP)-必须支持内容安全策略(CSP)2.0-
- 必须支持子资源完整性(SRI)
- 必须支持自动更新-必须为关键的浏览器组件和扩展支持单独的更新机制-必须对浏览器更新进行签名和验证
- 浏览器的密码管理器必须以加密形式存储密码-必须允许访问浏览器的内置密码库仅在用户输入主密码之后
- 用户必须能够从浏览器的密码管理器中删除密码
- 用户必须能够阻止或删除cookie文件-用户必须能够阻止或删除自动完成历史记录
- 用户必须能够阻止或删除浏览历史记录
- 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据-浏览器必须支持一种机制来检查有害内容/ URL
- 浏览器应允许组织运行本地存储的URL黑名单
- 必须支持设置部分,用户可以在其中启用/禁用插件,扩展名或JavaScript-浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署
- 必须允许管理员禁用基于云的配置文件同步功能
- 必须在初始化后以最小的操作系统权限运行在操作系统中-必须支持沙箱。所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行。不能直接访问隔离组件的资源。
- 网页需要彼此隔离,最好以独立进程的形式。还允许线程级隔离。
- 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码-浏览器供应商必须在公开披露安全漏洞后不超过21天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器。
- 浏览器必须使用OS内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP)。
- 组织管理员必须能够管理或阻止未经批准的附加组件/扩展的安装。
根据BSI,Firefox是唯一支持上述所有要求的浏览器。其他浏览器失败的选项包括:
- 缺乏对主密码机制(Chrome,IE,Edge)的支持
- 没有内置的更新机制(IE)
- 没有阻止遥测收集的选项(Chrome,IE,Edge)
- 不支持SOP(相同来源策略)( IE)
- 不支持CSP(内容安全策略)(IE)
- 不支持SRI(子资源完整性)(IE)
- 不支持浏览器配置文件,不同的配置(IE,Edge)
- 缺乏组织透明度(Chrome,IE,Edge)
分享到:
閱讀更多 Fronit 的文章
關鍵字: 原汁原味的德系SUV 网络安全 跳槽那些事
