Google Chrome en Mozilla Firefox voldoen 'out of the box' aan de minimale standaard die de Duitse overheid aan browsers stelt. Internet Explorer scoort op drie punten een onvoldoende, terwijl het bij Chromium Edge noodzakelijk is om de telemetriegegevens aan te passen, wat alleen op Windows 10 Enterprise mogelijk is.
Dat blijkt uit een nieuwe vergelijkingstabel van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI houdt zich onder andere bezig met het opstellen van allerlei richtlijnen. De "Mindeststandard des BSI für Web-Browser" beschrijft verschillende eisen waaraan een veilige browser moet voldoen.
Het gaat dan om zaken als de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), ondersteuning van Content Security Policy, sandboxing, het draaien met minimale rechten, de mogelijkheid om JavaScript uit te schakelen, certificaatbeheer en omgang met telemetriegegevens. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt.
De eerste versie van de browserstandaarden verscheen al in 2017. Nu is er een update verschenen die kleine aanpassingen bevat. Zo is de vereiste voor een browserspecifieke wachtwoordmanager verwijderd. In plaats daarvan wordt een externe wachtwoordmanager aangeraden. Daarnaast is de term gebruiksdata veranderd in telemetriedata.
Verder heeft het BSI een nieuwe vergelijkingstabel geproduceerd (pdf). Daarin wordt gekeken in hoeverre Chrome, Firefox, Internet Explorer en Chromium Edge aan de eisen voldoen. Chrome en Firefox scoren op alle onderdelen zonder enige aanpassingen een voldoende. Chromium Edge heeft als enige punt van aandacht dat het versturen van telemetriegegevens alleen met de Enterprise-versie van Windows 10 kan worden uitgeschakeld. Iets wat ook bij IE het geval is. Daarnaast scoort IE een onvoldoende bij de Same-Origin Policy, Content Security Policy (CSP) en Subresource Integrity.
Tevens heeft het BSI ook nog een basisconfiguratie voor browsers opgesteld. Zo moeten onder andere third-party cookies worden geblokkeerd en moet Flash, het synchroniseren van de browsergegevens met de cloud en de opslag van wachtwoorden in de wachtwoordmanager van de browser zijn uitgeschakeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.