image

Chrome en Firefox voldoen aan minimale browsereisen Duitse overheid

dinsdag 30 juni 2020, 15:51 door Redactie, 3 reacties

Google Chrome en Mozilla Firefox voldoen 'out of the box' aan de minimale standaard die de Duitse overheid aan browsers stelt. Internet Explorer scoort op drie punten een onvoldoende, terwijl het bij Chromium Edge noodzakelijk is om de telemetriegegevens aan te passen, wat alleen op Windows 10 Enterprise mogelijk is.

Dat blijkt uit een nieuwe vergelijkingstabel van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI houdt zich onder andere bezig met het opstellen van allerlei richtlijnen. De "Mindeststandard des BSI für Web-Browser" beschrijft verschillende eisen waaraan een veilige browser moet voldoen.

Het gaat dan om zaken als de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), ondersteuning van Content Security Policy, sandboxing, het draaien met minimale rechten, de mogelijkheid om JavaScript uit te schakelen, certificaatbeheer en omgang met telemetriegegevens. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt.

De eerste versie van de browserstandaarden verscheen al in 2017. Nu is er een update verschenen die kleine aanpassingen bevat. Zo is de vereiste voor een browserspecifieke wachtwoordmanager verwijderd. In plaats daarvan wordt een externe wachtwoordmanager aangeraden. Daarnaast is de term gebruiksdata veranderd in telemetriedata.

Verder heeft het BSI een nieuwe vergelijkingstabel geproduceerd (pdf). Daarin wordt gekeken in hoeverre Chrome, Firefox, Internet Explorer en Chromium Edge aan de eisen voldoen. Chrome en Firefox scoren op alle onderdelen zonder enige aanpassingen een voldoende. Chromium Edge heeft als enige punt van aandacht dat het versturen van telemetriegegevens alleen met de Enterprise-versie van Windows 10 kan worden uitgeschakeld. Iets wat ook bij IE het geval is. Daarnaast scoort IE een onvoldoende bij de Same-Origin Policy, Content Security Policy (CSP) en Subresource Integrity.

Tevens heeft het BSI ook nog een basisconfiguratie voor browsers opgesteld. Zo moeten onder andere third-party cookies worden geblokkeerd en moet Flash, het synchroniseren van de browsergegevens met de cloud en de opslag van wachtwoorden in de wachtwoordmanager van de browser zijn uitgeschakeld.

Image

Reacties (3)
30-06-2020, 16:32 door Anoniem
Met wat third-party tooltjes is de telemetrie in Windows een simpele opt-out. Maar waarom niet voor W10 Home? Dom zijn ze bij Microsoft om hun gebruikersveiligheid en privacy aan andere partijen uit te besteden. Ook aanpassingen in Group Policy heb ik tóch kunnen uitvoeren. Wie denken ze nog voor de gek te houden met hun achterlijke onderscheid tussen Home en Enterprise? Kijk bv. naar de nieuwe anti-pup tool in Defender: Niet voor Home-users?? Maargoed, laat ze maar lekker de plank misslaan zodat gebruikers zoals ik de bloatware eruit slopen en regelmatig Emsisoft en Adwarescan erdoor jagen. Libre Office erop en alle mediaspelers met open source vervangen. Dan alle apps in een sandbox(ie), w10Privacy tool de rotzooi (incl. Telemetrie) laten uitschakelen en je hebt een degelijk besturingssysteem! Enterprise: Wat een gek ervoor geeft...
30-06-2020, 23:26 door Anoniem
Eigenlijk alleen Firefox voldoet volledig, want OCSP (toch heel belangrijk) staat in Chrome niet aan en is niet eens een optie die je makkelijk kunt inschakelen:

"jaüber das BetriebssystemOnline-OCSP-/CRL-Prüfungen müssen per Gruppenrichtlinie oder Registry-Eintrag aktiviert werden.2"

Iets dat Chrome (en Windows) altijd niet zo belangrijk vond/vind:

https://www.chromium.org/administrators/policy-list-3#EnableOnlineRevocationChecks
03-07-2020, 22:19 door Anoniem
Wat ik niet begrijp is dat een browser met zoveel add-on-gevaren goedgekeurd kan worden. Wie heeft in godsnaam dat beslist?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.