Escritório Federal de Segurança da BSI sugere Firefox

O Firefox Ă© o Ășnico navegador recomendado pelo EscritĂłrio Federal de Segurança da Informação (BSI) da Alemanha, apĂłs pesquisas realizadas pela AgĂȘncia Federal de Segurança da Informação da Alemanha (Bundesamt fĂŒr Sicherheit in der InformationsISechnik).

O BSI testou o Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 e Microsoft Edge 44. Os testes nĂŁo incluĂ­ram outros navegadores como Safari, Brave, Opera ou Vivaldi.BSI

A auditoria foi realizada de maneira descrita em detalhes em uma diretriz (PDF) para os “navegadores seguros modernos” publicados pelo BSI no mĂȘs passado, em setembro de 2019.

O BSI normalmente usa este guia para orientar agĂȘncias governamentais e empresas do setor privado nas quais os navegadores sĂŁo seguros.

De acordo com o novo guia da BSI, para ser considerado “seguro”, um navegador moderno deve atender aos seguintes requisitos mĂ­nimos:

– Deve suportar TLS – Deve ter uma lista de certificados confiĂĄveis ​​- Deve suportar extensos certificados de validação (EV) – Deve verificar os certificados carregados com um certificado de revogação (CRL) ou um status de certificado eletrĂŽnico (OCSP) – Um navegador deve usar Ă­cones ou cores das teclas para indicar se a comunicação com um servidor remoto estĂĄ criptografada ou em texto sem formatação. As conexĂ”es com sites remotos em execução com certificados expirados somente devem ser abertas apĂłs a aprovação do usuĂĄrio – devem oferecer suporte Ă  segurança HTTP Strict Transport (HSTS) (RFC 6797) – devem oferecer suporte Ă  mesma polĂ­tica de origem (SOP) e deve oferecer suporte Ă  polĂ­tica de segurança de conteĂșdo (CSP) 2.0 – deve oferecer suporte Ă  integridade de sub-recursos (SRI) – deve suportar atualizaçÔes automĂĄticas com um mecanismo de atualização separado para atualizaçÔes crĂ­ticas e extensĂ”es do navegador – atualizaçÔes do navegador deve ser assinado e verificĂĄvel – O gerenciador de senhas do navegador deve armazenar as senhas em formato criptografado e o acesso Ă  função de senha de senha integrada deve ser acessado apenas quando o usuĂĄrio digitar uma senha deve ser capaz de diag costura senhas do gerenciador de senhas do navegador – Os usuĂĄrios devem poder bloquear ou excluir arquivos de cookies. Os usuĂĄrios devem poder bloquear ou excluir o histĂłrico de preenchimento automĂĄtico – Os usuĂĄrios devem poder bloquear ou excluir o histĂłrico de navegação – Os gerentes devem poder configurar ou bloquear programas navegação enviando telemetria (dados do usuĂĄrio). Os navegadores devem oferecer suporte ao mecanismo de controle de conteĂșdo e URLs maliciosos – Os programas de navegadores permitirĂŁo que as organizaçÔes tenham listas negras localmente – Eles devem oferecer suporte a um conjunto de configuraçÔes nas quais os usuĂĄrios podem ativar ou desativar addons, extensĂ”es ou JavaScript – Os gerentes devem ter permissĂŁo para desabilitar as funçÔes de sincronização de perfis na nuvem – Eles devem ser executados com direitos mĂ­nimos para o sistema operacional e devem suportar sandbox. Todos os componentes do navegador devem ser isolados um do outro e do sistema operacional. A comunicação entre os recursos isolados sĂł serĂĄ possĂ­vel atravĂ©s de interfaces definidas. O acesso direto a recursos individuais nĂŁo deve ser possĂ­vel – Os sites devem ser isolados um do outro, idealmente na forma de processos autĂŽnomos – Os navegadores devem ser desenvolvidos usando linguagens de programação que suportam proteçÔes de pilha e pilha de memĂłria. os navegadores devem usar proteçÔes de memĂłria do sistema operacional, como ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention).

De acordo com o BSI, o Firefox Ă© o Ășnico navegador que suporta todos os itens acima. Os pontos em que os outros aplicativos falharam:

– Falta de suporte para uma senha mestra (Chrome, IE, Edge) – Nenhum mecanismo de informaçÔes embutido (IE) – Nenhuma opção para bloquear a telemetria – Nenhum suporte para SOP (mesma polĂ­tica de origem) (IE) – Nenhum CSP (Segurança de conteĂșdo) Suporte Ă  polĂ­tica) (IE) – Sem suporte a SRI (Subresource Integrity) (IE) – Sem suporte para perfis de navegador, configuraçÔes diferentes (IE, Edge) – Falta de transparĂȘncia (Chrome, IE, Edge)