Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in Informationstechnik, BSI) протестировало браузеры Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 и Microsoft Edge 44, чтобы опередить наиболее защищенный из них. Аудит проводился с использованием правил, подробно изложенных в руководстве для «современных безопасных браузеров», обновленную версию которого BSI опубликовало в прошлом месяце.
Данное руководство обычно используется BSI во время консультирования правительственных учреждений и компаний из частного сектора по вопросам безопасности браузеров. В последний раз документ был обновлен прошлым летом, чтобы учитывать такие защитные механизмы, как HSTS, SRI, CSP 2.0, обработку телеметрии и так далее. Согласно новой версии руководства современный и безопасный браузер должен отвечать следующим минимальным требованиям:
- должен поддерживать TLS;
- должен иметь список доверенных сертификатов и поддерживать EV-сертификаты;
- должен проверять загруженные сертификаты с помощью Certification Revocation List (CRL) или Online Certificate Status Protocol (OCSP);
- должен использовать соответствующие значки или выделение цветом, показывающие, когда связь с удаленным сервером зашифрована или не зашифрована;
- соединения с удаленными сайтами, работающими с сертификатами с истекшим сроком действия, должны разрешаться только после одобрения пользователя;
- должен поддерживаться HTTP Strict Transport Security (HSTS) (RFC 6797);
- должны поддерживаться Same Origin Policy (SOP) и Content Security Policy (CSP) 2.0;
- должна поддерживаться Sub-resource integrity (SRI);
- должны поддерживаться автоматические обновления, а также отдельный механизм обновлений для важных компонентов и расширений;
- обновления браузера должны быть подписаны и верифицируемы;
- менеджер паролей браузера должен хранить пароли в зашифрованном виде;
- доступ к встроенному хранилищу паролей должен осуществляться только после ввода мастер-пароля;
- пользователи должены иметь возможность удалять пароли из менеджера паролей
- пользователи должны иметь возможность блокировать или удалять файлы cookie;
- пользователи должны иметь возможность блокировать или удалять историю автозаполнения;
- пользователи должны иметь возможность заблокировать или удалить историю просмотров;
- админы организаций должны иметь возможность настраивать или блокировать в браузере передачу телеметрии и данных об использовании;
- браузеры должны поддерживать механизм проверки вредоносного контента и URL-адресов;
- браузеры должны позволить организациям иметь локальные черные списки URL;
- в настройках должен быть раздел, где пользователи могут включить или выключить расширения, плагины и JavaScript;
- браузеры должны иметь возможность импортировать заданные централизованно настройки конфигурации;
- администраторы должны иметь возможность отключить функции облачной синхронизации профилей;
- после начальной загрузки браузер должен запускаться с минимальными правами в операционной системе;
- браузер должен поддерживать песочницу: все компоненты браузера должны быть изолированы друг от друга и от операционной системы. Связь между изолированными компонентами может осуществляться только через определенные интерфейсы. Прямой доступ к ресурсам изолированных компонентов должен быть невозможен;
- веб-страницы тоже должны быть изолированы друг от друга, в идеале в форме отдельных процессов. Также возможна изоляция на уровне потоков;
- браузер должен быть написан с использованием языков программирования, поддерживающих защиту стека и хипа памяти;
- разработчики браузера должны предоставлять обновления безопасности не позднее, чем через 21 день после публичного раскрытия информации об уязвимости. Если основной поставщик не предоставляет обновления безопасности, организации следует перейти на новый браузер;
- браузеры должны использовать средства защиты памяти ОС, такие как Address Space Layout Randomization (ASLR) и Data Execution Prevention (DEP);
- администраторы должны иметь возможность регулировать или блокировать установку неутвержденных расширений или аддонов.
По данным BSI, всем пунктам этого списка требований соответствует только Firefox, в связи с чем браузер Mozilla был признан наиболее защищенным. У других изученных браузеров были обнаружены следующие недочеты:
- отсутствие поддержки механизма мастер-пароля (Chrome, IE, Edge);
- нет встроенного механизма обновления (IE);
- нет возможности заблокировать сбор телеметрии (Chrome, IE, Edge);
- нет поддержки SOP (Same Origin Policy) (IE);
- отсутствует поддержка CSP (Content Security Policy) (IE);
- отсутствует поддержка SRI (Subresource Integrity) (IE);
- отсутствует поддержка профилей браузера, различных конфигураций (IE, Edge);
- отсутствует организационная транспарентность (Chrome, IE, Edge).