2019-7-02

SECURITY

Alemanha lança regras para browsers seguros

A agência federal de cibersegurança alemã, BSI, lançou um documento com guias sobre compliance com normas de cibersegurança em browsers web

Alemanha lança regras para browsers seguros

A Bundesamt für Sicherheit in der Informationstechnik – BSI, agência federal de cibersegurança alemã, lançou novas regras mínimas de compliance para browsers seguros. O guia deverá ser usado nos setores público e privado, relata a ZDNet, mas ainda é um rascunho.

Os browsers deverão cumprir os seguintes requisitos:

- Suportar TLS;

- Ter uma lista de certificados de confiança;

- Suportar certificados EV;

- Comparar certificados com lista CRL ou protocolo OCSP;

- Mostrar ícones ou cores diferenciadas quando as comunicações para um servidor remoto estão encriptadas ou em plaintext;

- Ligações a websites remotos com certificados expirados deverão só ser permitidas depois de aprovação do utilizador específico;

- Suportar HTTP STS (RFC 6797);

- Suportar SOP;

- Suportar CSP 2.0;

- Suportar SRI;

- Suportar atualizações automáticas;

- Suportar um mecanismo próprio de atualizações para componentes e extensões cruciais do browser;

- Atualizações deverão ser assinadas e verificáveis;

- O gestor de passwords deve armazenar passwords de forma encriptada;

- O acesso à password incorporada só pode ser permitido depois de o utilizador ter colocado a password mestra;

- Os utilizadores deverão poder apagar passwords do gestor;

- Os utilizadores deverão poder bloquear ou eliminar ficheiros cookie;

- Os utilizadores deverão poder bloquear ou eliminar histórico de auto-complete;

- Os utilizadores deverão poder bloquear ou eliminar histórico de navegação;

- Administradores das organizações deverão poder configurar ou bloquear a partilha de dados telemétricos ou de uso;

- Suportar um mecanismo capaz de verificar ameaças de conteúdo ou em URL;

- Deixar as organizações dirigirem listas negras de URLs locais;

- Suportar uma secção de definições onde os utilizadores poderão ativar ou desativar plugins, extensões ou JavaScript;

- Capacidade de importar configurações criadas centralmente, ideais para implementação corporativa a grande escala;

- Permitir aos administradores desativar sincronização na cloud;

- Ter direitos mínimos sobre o sistema operativo;

- Suportar sandboxing, com os componentes isolados uns dos outros e do sistema operativo. O acesso direto a recursos dos componentes isolados não pode ser possível;

- As páginas web deverão ser isoladas umas das outras;

- Devem ser programados em linguagem que permita armazenamento de proteções de memória;

- Os fabricantes deverão oferecer atualizações de segurança até 21 dias após a identificação pública de uma falha. As organizações deverão mudar de browser se este prazo não for cumprido;

- Usar proteções de memória do sistema operativo como ASLR ou DEP;

- Administradores das organizações deverão poder regular ou bloquear a instalação de extensões e add-ons não autorizados por si.

ARTIGOS RELACIONADOS

Cibersegurança: uma preocupação e uma prioridade de todos
SECURITY

Cibersegurança: uma preocupação e uma prioridade de todos

LER MAIS

Falha no macOS permite roubar histórico do browser
SECURITY

Falha no macOS permite roubar histórico do browser

LER MAIS

Adeus, Internet Explorer? Microsoft prepara novo web browser para o Windows 10
SOFT

Adeus, Internet Explorer? Microsoft prepara novo web browser para o Windows 10

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.