Security Tip van de Week: Gebruik Google Chrome met Click-to-Play
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Jim Manico
Gebruik Google Chrome met Click-to-Play
Ik gebruik Google Chrome, één van de best beveiligde browsers vanuit een sandbox standpunt bekeken. Daarnaast gebruik ik een plug-in die na afloop alles in de browser wist. Chrome houdt zichzelf up-to-date en met de plug-in wis ik elke dag alle data die door de browser is opgeslagen. De voornaamste reden dat ik Chrome gebruik is dat het over een sandbox beschikt, het heeft een beter security proces, het heeft een betere security-geschiedenis, en het laat me op een gerichte manier bepaalde plug-ins uitschakelen.
Click-to-Play, waarmee een extra klik voor plug-ins is vereist, was al vroeg in Chrome ingeschakeld. Ik heb mijn Google Chrome zo ingesteld dat alle plug-ins zijn uitgeschakeld. Als ik Flash Player op YouTube wil laden verschijnt er een melding dat ik moet 'klikken' om Flash in te schakelen. Dus ik speel alleen Flash en andere plug-ins als ik dat wil en niet automatisch zoals meestal het geval is.
Als je dit strenger wilt instellen ga je naar 'Instellingen' en kies daar 'Geavanceerde instellingen weergeven'. Ga dan naar 'Instellingen voor Inhoud' en ga naar het submenu 'Plug-ins'. Normaal staat het op 'Automatisch uitvoeren'. Ik heb 'Klikken om te spelen' ingeschakeld. En het is ook mogelijk om uitzonderingen toe te voegen, bijvoorbeeld als ik de conferentietool van mijn bedrijf gebruik, maar alleen voor die ene specifieke URL.
Ook kan ik afzonderlijke plug-ins uitschakelen, dus ik heb al mijn plug-ins uitgeschakeld en sta alleen Flash toe. Als ik voor een specifieke reden Java nodig ik heb schakel ik het in en kan het dan via Click-to-Play activeren. Als ik klaar ben schakel ik de Java plug-in weer uit. Ik wil niet dat mijn browser Java kan uitvoeren. Java is een groot gat in de browser. Het is een fantastische programmeertaal voor server side programmeren, maar het is op dit moment een probleem in de browser.
Eraser
De History Eraser plug-in laat me heel gericht alle cookies, tracking cookies en andere rotzooi uit mijn browser verwijderen. Het voordeel is minder tracking en het zorgt ervoor dat de sessie-cookies die ik heb gebruikt om in te loggen worden verwijderd, het verwijdert daarnaast rotzooi in mijn cache en geeft mee een geheel schone browser. Als ik ga internetbankieren leeg ik eerst mijn browser, vervolgens doe ik mijn transacties, log uit en verwijder daarna weer alles uit mijn browser.
Firefox heeft soortgelijke manieren, maar Chrome heeft een betere sandbox dus verkies ik het boven Firefox. Het is daarnaast sneller, maar de sandbox geeft echt de doorslag. Als een exploit in Chrome wordt uitgevoerd, wordt het alleen in de sandbox uitgevoerd. Er zijn mensen geweest die er wisten uit te breken, maar niet veel. Het is een erg goede bescherming.
Jim Manico is VP Security Architecture bij WhiteHat Security en is Global Board Member bij OWASP.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Ik snap je tips en ik juich ze toe, maar een iets kritischere blik op google chrome kan geen kwaad. De service die zich automatisch installeert en als local authority meer rechten heeft op jouw systeem dan jij als admin hebt daar hoor ik hier niks over.
Wie zegt mij dat google geen extra informatie inwint via deze service? (gupdate.exe voor de nieuwsgierigen) de service uitschakelen levert overigens een stroom aan DCOM meldingen in je Event Viewer op ook als je niet aan het browsen bent. Met andere woorden die service is iets aan het doen en communiceert met de buitenwereld. Er is mij niet bekend of dit nu secure gaat of niet (ik vermoed van niet).
Dus: Ja sandboxxed browsers zijn prima. Ja Google Chrome heeft de minst gekraakte sanbox. Ja extra plugins en het niet standaard toestaan van java/flash/andere plugins is absoluut een methode om "veiliger" te browsen. Maar er zitten ook zeker haken en ogen aan deze browser die niet beschreven staan hier.
Firefox nieuwste update
Add ons:
add-block
betterprivacy
ghostery
no-script
override user agent (spoof)
elite proxy swicher
https everywhere
config:
Do not track me
geschiedenis niet onthouden
about:config -> disable reffer (geeft soms ellende)
about:config -> remote sock dns
Mijn browser is gesandboxed met Apparmor (ubuntu)
verder staan alle plugins disabled op flash na. Deze wordt er uitgefilterd door noscript behalve op de paginas waar ik dat wil.
Log in via Facebook bij je bank.
Lekker veilig.
(Not)
leuk zo' sandbox.
Zoiets als in het zwembad tegen iemand zeggen dat hij beter in het zwembad moet blijven, omdat hij buiten nat wordt van de regen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
