2019-7-02

SEGURANÇA

Alemanha lança regras para browsers seguros

A agência federal de cibersegurança alemã, BSI, lançou um documento com guias sobre compliance com normas de cibersegurança em browsers web

A Bundesamt für Sicherheit in der Informationstechnik – BSI, agência federal de cibersegurança alemã, lançou novas regras mínimas de compliance para browsers seguros. O guia deverá ser usado nos setores público e privado, relata a ZDNet, mas ainda é um rascunho.

Os browsers deverão cumprir os seguintes requisitos:

- Suportar TLS;

- Ter uma lista de certificados de confiança;

- Suportar certificados EV;

- Comparar certificados com lista CRL ou protocolo OCSP;

- Mostrar ícones ou cores diferenciadas quando as comunicações para um servidor remoto estão encriptadas ou em plaintext;

- Ligações a websites remotos com certificados expirados deverão só ser permitidas depois de aprovação do utilizador específico;

- Suportar HTTP STS (RFC 6797);

- Suportar SOP;

- Suportar CSP 2.0;

- Suportar SRI;

- Suportar atualizações automáticas;

- Suportar um mecanismo próprio de atualizações para componentes e extensões cruciais do browser;

- Atualizações deverão ser assinadas e verificáveis;

- O gestor de passwords deve armazenar passwords de forma encriptada;

- O acesso à password incorporada só pode ser permitido depois de o utilizador ter colocado a password mestra;

- Os utilizadores deverão poder apagar passwords do gestor;

- Os utilizadores deverão poder bloquear ou eliminar ficheiros cookie;

- Os utilizadores deverão poder bloquear ou eliminar histórico de auto-complete;

- Os utilizadores deverão poder bloquear ou eliminar histórico de navegação;

- Administradores das organizações deverão poder configurar ou bloquear a partilha de dados telemétricos ou de uso;

- Suportar um mecanismo capaz de verificar ameaças de conteúdo ou em URL;

- Deixar as organizações dirigirem listas negras de URLs locais;

- Suportar uma secção de definições onde os utilizadores poderão ativar ou desativar plugins, extensões ou JavaScript;

- Capacidade de importar configurações criadas centralmente, ideais para implementação corporativa a grande escala;

- Permitir aos administradores desativar sincronização na cloud;

- Ter direitos mínimos sobre o sistema operativo;

- Suportar sandboxing, com os componentes isolados uns dos outros e do sistema operativo. O acesso direto a recursos dos componentes isolados não pode ser possível;

- As páginas web deverão ser isoladas umas das outras;

- Devem ser programados em linguagem que permita armazenamento de proteções de memória;

- Os fabricantes deverão oferecer atualizações de segurança até 21 dias após a identificação pública de uma falha. As organizações deverão mudar de browser se este prazo não for cumprido;

- Usar proteções de memória do sistema operativo como ASLR ou DEP;

- Administradores das organizações deverão poder regular ou bloquear a instalação de extensões e add-ons não autorizados por si.

Recomendado pelos leitores

Vulnerabilidade no Teams possibilitava roubo de contas
SEGURANÇA

Vulnerabilidade no Teams possibilitava roubo de contas

LER MAIS

Ciberataque à EasyJet expõe dados de nove milhões de clientes
SEGURANÇA

Ciberataque à EasyJet expõe dados de nove milhões de clientes

LER MAIS

Polícia Judiciária realiza buscas a suspeitos de ataque à Altice
SEGURANÇA

Polícia Judiciária realiza buscas a suspeitos de ataque à Altice

LER MAIS

IT CHANNEL Nº 67 MAIO 2020

IT CHANNEL Nº 67 MAIO 2020

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.