Браузер, що отримав максимальні бали в аудиті, який нещодавно проводив Федеральний офіс інформаційної безпеки Німеччини (Bundesamt für Sicherheit in der Informationstechnik – BSI) – це Firefox.
Всього німецькими експертами тестувалися чотири веб-браузера: Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 і Microsoft Edge 44. За бортом залишилися всі інші браузерні програми, в тому числі Safari, Brave, Opera або Vivaldi.
В ході випробувань перевірялася відповідність цих програм вимогам, викладеним в керівництві по «сучасним безпечним браузерам», яке BSI опублікував у вересні 2019 року. BSI застосовує цей документ, щоб рекомендувати державним і приватними організаціям браузери, безпечні у використанні.
Перша редакція керівництва по безпечним браузерам вийшла в Німеччині в 2017 році. Вона була переглянута з урахуванням новітніх технологій забезпечення безпеки, таких як HSTS, SRI, CSP 2.0, обробка телеметрії і поліпшені механізми роботи з сертифікатами.
Згідно з інформацією BSI, тільки Firefox зміг продемонструвати відповідність необхідного мінімуму оновлених вимог до «безпечного» браузеру. В їх число входять: підтримка TLS, HTTP Strict Transport Security (HSTS) (RFC 6797), Same Origin Policy (SOP), Content Security Policy (CSP) 2.0, Sub-resource integrity (SRI). Браузер повинен мати захист пам’яті рівня ОС, ізолювати (найкраще у вигляді окремих процесів) відкриті веб-сторінки, перевіряти завантажені сертифікати за списком анульованих сертифікацій (CRL) або по протоколу онлайнового статусу сертифікатів (OCSP), підтримувати автоматичні оновлення, шифрувати записи в менеджері паролів і видаляти їх при необхідності, також як файли кукі, історію автозавершення і відвідувань сторінок, і багато іншого.
Браузери, які не пройшли аудит, мали такі упущення:
-була відсутня підтримка майстер-пароля (Chrome, IE, Edge);
-не було вбудованого механізму оновлень (IE);
-не передбачено блокування збору телеметрії (Chrome, IE, Edge);
-немає підтримки SOP (IE), CSP (IE), SRI (IE);
-не передбачено профілів браузера різних конфігурацій (IE, Edge);
-відсутня організаційна прозорість (Chrome, IE, Edge).
Джерело: ko.com.ua