image

Security Tip van de Week: Gebruik Google Chrome met Click-to-Play

maandag 15 april 2013, 11:59 door Jim Manico, 7 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Jim Manico

Gebruik Google Chrome met Click-to-Play
Ik gebruik Google Chrome, één van de best beveiligde browsers vanuit een sandbox standpunt bekeken. Daarnaast gebruik ik een plug-in die na afloop alles in de browser wist. Chrome houdt zichzelf up-to-date en met de plug-in wis ik elke dag alle data die door de browser is opgeslagen. De voornaamste reden dat ik Chrome gebruik is dat het over een sandbox beschikt, het heeft een beter security proces, het heeft een betere security-geschiedenis, en het laat me op een gerichte manier bepaalde plug-ins uitschakelen.

Click-to-Play, waarmee een extra klik voor plug-ins is vereist, was al vroeg in Chrome ingeschakeld. Ik heb mijn Google Chrome zo ingesteld dat alle plug-ins zijn uitgeschakeld. Als ik Flash Player op YouTube wil laden verschijnt er een melding dat ik moet 'klikken' om Flash in te schakelen. Dus ik speel alleen Flash en andere plug-ins als ik dat wil en niet automatisch zoals meestal het geval is.

Als je dit strenger wilt instellen ga je naar 'Instellingen' en kies daar 'Geavanceerde instellingen weergeven'. Ga dan naar 'Instellingen voor Inhoud' en ga naar het submenu 'Plug-ins'. Normaal staat het op 'Automatisch uitvoeren'. Ik heb 'Klikken om te spelen' ingeschakeld. En het is ook mogelijk om uitzonderingen toe te voegen, bijvoorbeeld als ik de conferentietool van mijn bedrijf gebruik, maar alleen voor die ene specifieke URL.

Ook kan ik afzonderlijke plug-ins uitschakelen, dus ik heb al mijn plug-ins uitgeschakeld en sta alleen Flash toe. Als ik voor een specifieke reden Java nodig ik heb schakel ik het in en kan het dan via Click-to-Play activeren. Als ik klaar ben schakel ik de Java plug-in weer uit. Ik wil niet dat mijn browser Java kan uitvoeren. Java is een groot gat in de browser. Het is een fantastische programmeertaal voor server side programmeren, maar het is op dit moment een probleem in de browser.

Eraser
De History Eraser plug-in laat me heel gericht alle cookies, tracking cookies en andere rotzooi uit mijn browser verwijderen. Het voordeel is minder tracking en het zorgt ervoor dat de sessie-cookies die ik heb gebruikt om in te loggen worden verwijderd, het verwijdert daarnaast rotzooi in mijn cache en geeft mee een geheel schone browser. Als ik ga internetbankieren leeg ik eerst mijn browser, vervolgens doe ik mijn transacties, log uit en verwijder daarna weer alles uit mijn browser.

Firefox heeft soortgelijke manieren, maar Chrome heeft een betere sandbox dus verkies ik het boven Firefox. Het is daarnaast sneller, maar de sandbox geeft echt de doorslag. Als een exploit in Chrome wordt uitgevoerd, wordt het alleen in de sandbox uitgevoerd. Er zijn mensen geweest die er wisten uit te breken, maar niet veel. Het is een erg goede bescherming.

Jim Manico is VP Security Architecture bij WhiteHat Security en is Global Board Member bij OWASP.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (7)
15-04-2013, 14:28 door Anoniem
En je vindt het uit security oogpunt dan geen probleem om niet te weten wat google met je gegevens doet? Want je bent nu in de veronderstelling dat alles niet "getracked" wordt maar ik ben er van overtuigd dat Google exact weet waar je naar toe navigeert op het internet en deze gegevens ook gebruikt (voor welk doeleinde dan ook).

Ik snap je tips en ik juich ze toe, maar een iets kritischere blik op google chrome kan geen kwaad. De service die zich automatisch installeert en als local authority meer rechten heeft op jouw systeem dan jij als admin hebt daar hoor ik hier niks over.

Wie zegt mij dat google geen extra informatie inwint via deze service? (gupdate.exe voor de nieuwsgierigen) de service uitschakelen levert overigens een stroom aan DCOM meldingen in je Event Viewer op ook als je niet aan het browsen bent. Met andere woorden die service is iets aan het doen en communiceert met de buitenwereld. Er is mij niet bekend of dit nu secure gaat of niet (ik vermoed van niet).

Dus: Ja sandboxxed browsers zijn prima. Ja Google Chrome heeft de minst gekraakte sanbox. Ja extra plugins en het niet standaard toestaan van java/flash/andere plugins is absoluut een methode om "veiliger" te browsen. Maar er zitten ook zeker haken en ogen aan deze browser die niet beschreven staan hier.
15-04-2013, 15:00 door WhizzMan
SRWare Iron zit geen tracking in die elke pagina die je bezoekt bij google meldt. Je kan je lokale history wel wissen, maar dat betekent nog niet dat ie van je harddisk af is. Het betekent ook niet dat ie niet bij Google is opgeslagen. Ik weet niet of SRWare Iron wel of geen sandbox heeft, maar vanuit het standpunt van security en privacy denk ik dat chrome een van de slechtste browsers is die je kan gebruiken doordat google elke klik centraal opslaat.
15-04-2013, 15:35 door [Account Verwijderd]
[Verwijderd]
15-04-2013, 19:15 door Duck-man
:) weer een goede tip. Sla je surf gedrag op bij Google en geef ze het monopoly er op. Natuurlijk is het niet duidelijk of en wat Google opslaat en wat ze over je weten. Maar het verleden heeft aan getoond dat dit meer is dan je dacht. Chrome gebruiken om prive redenen lijkt mij een slechte tip.
15-04-2013, 19:32 door Anoniem
Ik heb Chrome geprobeerd, maar vond en vind het niets. Firefox heeft op de sandbox na die instellingen ook en is mijn persoonlijke favoriet.
16-04-2013, 12:57 door Anoniem
Chrome is een van de slechtere keuzes qua privacy. De battle for the browsers zal altijd blijven bestaan, en ook die van plugins. Ik kan alleen maar mijn set-up noteren (die ik met veel onderzoek samengestelt heb) en hopen dat mensen dit overnemen (en verbeteren).

Firefox nieuwste update

Add ons:
add-block
betterprivacy
ghostery
no-script
override user agent (spoof)
elite proxy swicher
https everywhere

config:
Do not track me
geschiedenis niet onthouden
about:config -> disable reffer (geeft soms ellende)
about:config -> remote sock dns

Mijn browser is gesandboxed met Apparmor (ubuntu)
verder staan alle plugins disabled op flash na. Deze wordt er uitgefilterd door noscript behalve op de paginas waar ik dat wil.
16-04-2013, 15:38 door cjkos
Ik mis nog de volgende tip:

Log in via Facebook bij je bank.

Lekker veilig.

(Not)
leuk zo' sandbox.
Zoiets als in het zwembad tegen iemand zeggen dat hij beter in het zwembad moet blijven, omdat hij buiten nat wordt van de regen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.