2019-7-02
A agência federal de cibersegurança alemã, BSI, lançou um documento com guias sobre compliance com normas de cibersegurança em browsers web
A Bundesamt für Sicherheit in der Informationstechnik – BSI, agência federal de cibersegurança alemã, lançou novas regras mínimas de compliance para browsers seguros. O guia deverá ser usado nos setores público e privado, relata a ZDNet, mas ainda é um rascunho. Os browsers deverão cumprir os seguintes requisitos: - Suportar TLS; - Ter uma lista de certificados de confiança; - Suportar certificados EV; - Comparar certificados com lista CRL ou protocolo OCSP; - Mostrar ícones ou cores diferenciadas quando as comunicações para um servidor remoto estão encriptadas ou em plaintext; - Ligações a websites remotos com certificados expirados deverão só ser permitidas depois de aprovação do utilizador específico; - Suportar HTTP STS (RFC 6797); - Suportar SOP; - Suportar CSP 2.0; - Suportar SRI; - Suportar atualizações automáticas; - Suportar um mecanismo próprio de atualizações para componentes e extensões cruciais do browser; - Atualizações deverão ser assinadas e verificáveis; - O gestor de passwords deve armazenar passwords de forma encriptada; - O acesso à password incorporada só pode ser permitido depois de o utilizador ter colocado a password mestra; - Os utilizadores deverão poder apagar passwords do gestor; - Os utilizadores deverão poder bloquear ou eliminar ficheiros cookie; - Os utilizadores deverão poder bloquear ou eliminar histórico de auto-complete; - Os utilizadores deverão poder bloquear ou eliminar histórico de navegação; - Administradores das organizações deverão poder configurar ou bloquear a partilha de dados telemétricos ou de uso; - Suportar um mecanismo capaz de verificar ameaças de conteúdo ou em URL; - Deixar as organizações dirigirem listas negras de URLs locais; - Suportar uma secção de definições onde os utilizadores poderão ativar ou desativar plugins, extensões ou JavaScript; - Capacidade de importar configurações criadas centralmente, ideais para implementação corporativa a grande escala; - Permitir aos administradores desativar sincronização na cloud; - Ter direitos mínimos sobre o sistema operativo; - Suportar sandboxing, com os componentes isolados uns dos outros e do sistema operativo. O acesso direto a recursos dos componentes isolados não pode ser possível; - As páginas web deverão ser isoladas umas das outras; - Devem ser programados em linguagem que permita armazenamento de proteções de memória; - Os fabricantes deverão oferecer atualizações de segurança até 21 dias após a identificação pública de uma falha. As organizações deverão mudar de browser se este prazo não for cumprido; - Usar proteções de memória do sistema operativo como ASLR ou DEP; - Administradores das organizações deverão poder regular ou bloquear a instalação de extensões e add-ons não autorizados por si. |