image

Security Tip van de Week: gebruik een evergreen-browser

maandag 9 september 2013, 14:05 door Wolfgang Kandek, 5 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security-tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de Security Tip van Wolfgang Kandek

Twee-in-één-aanbieding: ‘evergreen-browsers’ zijn goed voor het web en zeer veilig

Onlangs kwam ik het woord 'evergreen-browsers' tegen op internet. De naam van dit concept is afkomstig uit de plantenwereld. Net zoals planten hun bladeren niet verliezen maar het hele jaar door bloeien, zijn evergreen-browsers in staat altijd automatisch te updaten met als doel zo actueel mogelijk te zijn. Google Chrome en Mozilla Firefox zijn hier de belangrijkste voorbeelden van. Beide browsers krijgen van moderne webdevelopers hoge cijfers voor hun compliance en snelheid. Daarmee kunnen webdevelopers de nieuwste technologie integreren in hun sites en de nieuwe generatie webapplicaties vooruithelpen.

Evergreen-browsers pakken een van de grootste beveiligingsgaten in onze huidige omgevingen aan: gedateerde versies van browsers met bekende zwakke plekken en een gebrek aan hardening-technologieën. Hackers benutten deze zwakke plekken om werkstations aan te vallen, waarna ze ze vanaf afstand besturen en gebruiken als gunstig startpunt voor verdere aanvallen op zakelijke netwerken. Voorbeelden van zulke gevallen zijn legio – van de Aurora-aanval op Google, die alleen mogelijk was omdat een gedateerde browser werd gebruikt, tot de recente aanval door de Java-plug-in op Twitter, Facebook en Apple.

De Amerikaanse blogger Brian Krebs was in staat toegang te krijgen tot informatie van de criminele onderwereld. Deze informatie ondersteunt de theorie dat moderne en altijd up-to-date browsers beter opgewassen zijn tegen de typische cyberaanvaller. Krebs deed onderzoek naar de STYX-exploit-kit, een toolkit die een groot deel van de technische kennis, benodigd voor het verspreiden van malware over het internet, automatiseert. Het lukte hem in een actieve STYX-installatie te komen en hij had toegang tot de effectiviteitscijfers van de aanvalssite in kwestie. Waar de infectiewaarden voor Internet Explorer schommelen tussen twaalf procent voor IE 10 en twaalf procent voor IE 8, zijn de waarden voor zowel Chrome als Firefox zo dicht bij nul dat ze eigenlijk niet bestaan.

Voor mij is de situatie duidelijk. Als je de keuze hebt voor een browser, kies dan degene die zichzelf zo veel mogelijk blijft updaten en die zich richt op de meest aangevallen browser-plug-ins. Chrome en Firefox hebben nu allebei hun eigen PDF-readers geïntegreerd. Deze zijn immuun voor de typische aanvallen op basis van PDF- documenten en bieden hulp bij het beheer van de Java-plug-in, die het doelwit is van veel van de recente aanvallen.

Ben je werkzaam in de IT en heb je controle over wat je zakelijke gebruikers kunnen gebruiken? Dan raad ik aan te bekijken of het beveiligingsvoordeel dat deze nieuwe technologie oplevert, opweegt tegen minder controle bij het automatische-updateproces van de evergreen-browsers. Door over te stappen naar nieuwere browsers, vergroot je niet alleen je beveiliging, maar je browsers zijn ook uitgerust voor toegang tot betere en snellere websites. Zeg nou zelf: hoe vaak zijn er nu daadwerkelijk twee vliegen – meer veiligheid en een betere gebruikerservaring – in één klap te behalen?

Wolfgang Kandek is CTO bij Qualys

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (5)
10-09-2013, 09:30 door Anoniem
Ik zou spyware zoals Chrome nou niet adviseren voor "veilig" browsen, gebruik dan Chromium of de Iron variant:

https://www.srware.net/en/software_srware_iron.php

Google's Web browser Chrome thrilled with an extremely fast site rendering, a sleek design and innovative features. But it also gets critic from data protection specialists , for reasons such as creating a unique user ID or the submission of entries to Google to generate suggestions. SRWare Iron is a real alternative. The browser is based on the Chromium-source and offers the same features as Chrome - but without the critical points that the privacy concern.
13-09-2013, 15:55 door Anoniem
Door Anoniem: Ik zou spyware zoals Chrome nou niet adviseren voor "veilig" browsen, gebruik dan Chromium of de Iron variant:

https://www.srware.net/en/software_srware_iron.php

Google's Web browser Chrome thrilled with an extremely fast site rendering, a sleek design and innovative features. But it also gets critic from data protection specialists , for reasons such as creating a unique user ID or the submission of entries to Google to generate suggestions. SRWare Iron is a real alternative. The browser is based on the Chromium-source and offers the same features as Chrome - but without the critical points that the privacy concern.
http://web.archive.org/web/20120331155237/http://chromium.hybridsource.org/the-iron-scam

Iron is gewoon baseless onzin.
16-09-2013, 15:15 door Patio
Ik vraag me af waarom deze CTO alleen Google Chrome rn Mozilla Firefox als belangrijk genoeg ziet. Apple Safari heeft dezelfde functionaliteiten als hij noemt en meer. Inderdaad typisch managersjargon. Hij is enthousiast over 1 of 2 producten en/of diensten en dan "moeten" ondergeschikten en zelfs klanten maar naar zijn pijpen dansen. Kritiek komt bij zulke mensen vaak niet goed over.

Twee regels:

1. De manager krijgt gelijk
2. Mocht hijhij (of zij) geen gelijk krijgen is automatisch regel 1 van toepassing
20-09-2013, 16:20 door Anoniem
Het automatisch updaten van Firefox en Chrome is juist een nadeel bij zakelijk gebruik.

Zo heeft bijvoorbeeld de genoemde ingebouwde PDF reader van Firefox (in versie 19 of 20 ofzo?) bij veel bedrijven overlast gegeven omdat die PDFs soms net even anders leest (met name achtergrondafbeeldingen zoals bedrijfslogo's zijn mij bekend). Indien je de standaard firefox geinstalleerd had staan welke zichzelf update dan had je dit probleem dus...

Helaas hebben Firefox en Chrome heel weinig mogelijkheden voor centraal beheer en updates binnen een zakelijke omgeving, ze richten zich echt op individuele gebruikers

Voor firefox kun je via Frontmotion nog wel een .msi installatiebestand krijgen welke je met een group policy centraal kunt installeren of updaten op alle gebruikerscomputers en met behulp van een heel beperkte policy kun je ook nog een paar instellingen doen (zoals bijvoorbeeld de de homepage de vraag of Firefox de standaardbrowser is), maar echt geweldig is het allemaal niet.
01-10-2013, 15:34 door Anoniem
Door Anoniem:
Helaas hebben Firefox en Chrome heel weinig mogelijkheden voor centraal beheer en updates binnen een zakelijke omgeving, ze richten zich echt op individuele gebruikers

Voor firefox kun je via Frontmotion nog wel een .msi installatiebestand krijgen welke je met een group policy centraal kunt installeren of updaten op alle gebruikerscomputers en met behulp van een heel beperkte policy kun je ook nog een paar instellingen doen (zoals bijvoorbeeld de de homepage de vraag of Firefox de standaardbrowser is), maar echt geweldig is het allemaal niet.

Dit probleem is er wel bij Firefox maar niet bij Google Chrome.
Daar zijn .MSI files voor en group policy templates waarmee je de hele boel kunt configureren en locken net zoals bij IE.
Ook de auto update kun je dan uitzetten en in plaats daarvan zelf updates downloaden en klaar zetten in je group policy.

Firefox is wat dat betreft inderdaad een ramp met zijn eigenzinnige config systeem wat niet van de registry gebruik maakt.
Dat is uiteraard omdat het een applicatie is die ook op andere platformen draait, maar men heeft zelfs niet de moeite
genomen om voor het windows platform een tussenlaag te maken om de prefs.js in registry settings op te slaan.

Dit is waarschijnlijk een van de redenen dat Firefox on the way out is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.