Úvod Ostatné Prešiel testom: Nemci odporúčajú Firefox ako najbezpečnejší internetový prehliadač

Prešiel testom: Nemci odporúčajú Firefox ako najbezpečnejší internetový prehliadač

242
Firefox ako jediný z testovaných prehliadačov vyhovel nemeckým bezpečnostným štandardom. Foto: Mozilla

Nemecká agentúra BSI testovala prehliadače Firefox, Chrome, IE a Edge. Firefox ako jediný z nich vyhovel všetkým minimálnym bezpečnostným štandardom

Firefox je jediný prehliadač, ktorý získal najvyššie známky na základe aktuálneho auditu nemeckej agentúry pre kybernetickú bezpečnosť – Nemeckého spolkového úradu pre bezpečnosť informačných technológií BSI (Bundesamt für Sicherheit in der Informationstechnik – BSI).

BSI testoval prehliadače Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 a Microsoft Edge 44. Do testu neboli zahrnuté ďalšie prehliadače, napríklad Safari, Brave, Opera alebo Vivaldi.

BSI (Bundesamt für Sicherheit in der Informationstechnik – BSI).

Audit sa uskutočnil pomocou pravidiel podrobne uvedených v usmernení pre moderné zabezpečené prehliadače (odkaz v nemčine), ktoré BSI uverejnila v septembri tohto roku.

BSI zvyčajne používa toto usmernenie ako metodickú príučku, na základe ktore informuje vládne agentúry a súkromné spoločnosti sektora o tom, ktoré prehliadače sú bezpečné na používanie.

Nevyhnutné požiadavky

Prvýkrát toto usmernenie zverejnila pred viac než dvomi rokmi, teraz odporúčané minimálne bezpečnostné štandardy prehodnotila a zverejnila nové požiadavky pre bezpečný internetový prehliadač.  Medzi ne napríklad patria (zo zoznamu len vyberáme):

  •  Prehliadač musí podporovať bezpečnostný protokol TLS
  • Musí mať zoznam dôveryhodných certifikátov a podporovať EV certifikáty (extended validation)
  • Musí vedieť certifikáty overiť podľa zoznamov CRL a OCSP
  • Prehliadač musí používať ikony alebo farebné zvýraznenia, aby ukázal, či je komunikácia so vzdialeným serverom šifrovaná alebo nie
  • Pripojenia k webovým serverom spusteným na certifikátoch, ktorým vypršala platnosť, sa môžu povoliť iba po výslovnom súhlase užívateľa.
  • Musí podporovať protokol  HTTP Strict Transport Security (HSTS) (RFC 6797)
  • Musí podporovať bezpečnostnú funkcionalitu SOP (Same Origin Policy)  a zabezpečenie obsahu podľa CSP 2.0 (Content Security Policy)
  • Musí podporovať automatické aktualizácie dôležitých komponentov prehliadača a rozšírení
  • Aktualizácie prehliadača musia byť podpísané a overiteľné
  • Správca hesiel v prehliadači musí ukladať heslá v zašifrovanej podobe
  • Prístup k súboru hesiel musí byť umožnený, len ak užívateľ zadá kontrolné heslo
  • Používateľ musí mať možnosť odstrániť heslá zo správcu hesiel v prehliadači
  • Používateľ musí mať možnosť blokovať alebo mazať súbory cookie
  • Používatelia musí mať možnosť blokovať alebo mazať históriu automatického dopĺňania a históriu prehliadaných adries

Zoznam požiadaviek je samozrejme oveľa širší, všetkým vyhovel len Firefox. A kde zlyhali ostatné?

  • Absencia podpory hlavného hesla (master password) (Chrome, IE, Edge)
  • Žiadny zabudovaný mechanizmus aktualizácie (IE)
  • Nemožnosť blokovať zhromažďovanie telemetrických údajov (Chrome, IE, Edge)
  • Bez podpory SOP, CSP a SRI (IE)
  • Bez podpory profilov prehliadača a  užívateľských konfigurácií (IE, Edge)
  • Organizačná netransparentnosť (Chrome, IE, Edge)