image

Beveiligingsbedrijf ontwikkelt veilige webbrowser

woensdag 23 oktober 2013, 12:23 door Redactie, 9 reacties

Een Amerikaans beveiligingsbedrijf stelt dat Google Chrome, Firefox, Internet Explorer en Safari niet echt veilig zijn, wat reden was om een eigen veilige webbrowser te ontwikkelen. De browser heet Aviator en is gebaseerd op Chromium, de open-source browser die ook door Chrome wordt gebruikt.

De reden dat er voor Chromium werd gekozen is dat het over verschillende unieke beveiligingsmaatregelen beschikt, zoals een sandbox. Beveiligingsbedrijf WhiteHat vond dat Chromium niet veilig genoeg is en maakte een aangepaste variant met meer beveiliging en privacyinstellingen. Zo is de standaard zoekmachine DuckDuckGo in plaats van Google en integreert de browser Disconnect. Een extensie die advertenties en tracking op het internet blokkeert.

Daarnaast wordt de surfgeschiedenis, cache, cookies, auto-complete en lokale opslag na het herstarten van de browser verwijderd. Ook worden standaard cookies van derde partijen geblokkeerd, vereisen plug-ins een extra muisklik om te werken, staat Do-Not-Track standaard ingeschakeld en wordt er zo min mogelijk data naar Google gestuurd.

Veiligheid

Aviator wordt door WhiteHat als een veilig alternatief voor Chrome, Firefox, IE en Safari gepresenteerd. Het beveiligingsbedrijf stelt dat de browserontwikkelaars wel allerlei veiligheids- en privacyverbeteringen hebben doorgevoerd, maar niet ver genoeg zijn gegaan om een aantal ernstige problemen op te lossen. Deze problemen zullen volgens WhiteHat blijven bestaan, omdat de meeste browsers voor bruikbaarheid en het tonen van advertenties zijn ontwikkeld. Persoonlijke veiligheid en privacy spelen een veel kleinere rol.

"Google en Microsoft verdienen veel geld aan online advertenties. Helaas is online adverteren zeer indringend, omdat het je in principe overal op internet volgt. Zelfs Mozilla ontvangt het grootste deel van de inkomsten via advertenties. Het implementeren van echt effectieve beveiliging en privacy zou nadelig voor hun bedrijfsvoering zijn", aldus het beveiligingsbedrijf.

Aangezien er geen goed alternatief beschikbaar was die aan de veiligheidsbehoeftes van het bedrijf voldeed, ontwikkelde WhiteHat een eigen Chromium-versie. Deze versie was eerst voor intern gebruik bedoeld, maar nu is Aviator ook aan het publiek ter beschikking gesteld. Vooralsnog werkt de beschikbare bètaversie alleen op Mac OS X.

Reacties (9)
23-10-2013, 12:26 door [Account Verwijderd]
[Verwijderd]
23-10-2013, 13:03 door Anoniem
Vreselijk die Chromium... Opera is er ook al naar over gestapt. ik vind het maar niks!
23-10-2013, 13:28 door Anoniem
"...min mogelijk data naar Google gestuurd." Lekker anoniem, veilig.
Net als alles heeft het een internet verbinding nodig, en helaas is dat meestal te herleiden.
23-10-2013, 14:40 door Anoniem
12 september 2013 is er een soortgelijk artikel gepost maar dan over de EPIC Browser. Ook gebaseerd op Chromium.

https://www.security.nl/posting/363156/Nieuwe+browser+beschermt+privacy+en+blokkeert+tracking

Verschil?!
23-10-2013, 14:51 door Anoniem
"en wordt er zo min mogelijk data naar Google gestuurd"

Zo min mogelijk is me nog teveel...
23-10-2013, 18:20 door Goeroeboeroe
Ben ik nou volkomen paranoïde geworden als ik mijn hersenen betrap op de woorden 'Amerikaans', 'NSA', 'backdoor', 'geheim bevel'?
23-10-2013, 21:13 door Anoniem
Marketing 100 punten!
... maar de tijd zal het weer moeten leren ;)
24-10-2013, 07:39 door Acumen
Door Anoniem: "en wordt er zo min mogelijk data naar Google gestuurd"

Zo min mogelijk is me nog teveel...
Zolang luie website bouwers gebruik maken van ajax.google.com, is het enige alternatief de site niet bezoeken.
Mijn ervaring is dat de meeste sites die Google's Ajax diensten gebruiken, niet functioneren zonder...

Google nest zich meer en meer in internet pagina's, waardoor je er vrijwel niet aan ontkomt ergens je IP adresje achter te laten. Neemt niet weg dat iedereen naar mijn idee het streven zou moeten hebben dit zoveel mogelijk te voorkomen, maar ja... We hebben niets te verbergen toch.....
24-10-2013, 14:37 door Anoniem
Aviator WhiteHat Security - Safe Privacy webbrowser , Yes or No(t)?


Google Chrome, Firefox, Internet Explorer en Safari niet echt veilig zijn

- Laten we dat eens proberen te onderzoeken, te vergelijken met andere browsers (een kleine poging).

verschillende unieke beveiligingsmaatregelen beschikt, zoals een sandbox

- Bij mijn weten; Firefox heeft geen algehele sandbox, Safari heeft een halve sandbox onder Lion extra webapplicatie processen in de browser zijn sandboxed, Chrome idem voor de plugins als pdf viewer en een eigen flashplayer?

meer beveiliging en privacyinstellingen

Meer beveiliging ?

- Voor de download krijg ik geen sha1 mee om de download te controleren

- De chromium build versie en beveiliging

Laatste Chromium versie (freesmug.org) is ChromiumOSX_30.0.1599.101.dmg
Cromium Mac releases : http://www.freesmug.org/chromium

Aviator Chromium versie betreft 28.0.1500.71 (4 versies eerder), deze release is van juli 2013.
http://www.freesmug.org/news:108
What's new: 28.0.1500.71 (2013.07.21)
Build from 28.0.1500.71 source code. Change Log.
This release contains security fixes.

Release schedule versions chromium
http://www.chromium.org/developers/calendar
Chromium 28 is van May 6th, 2013

Versies daarna leveren nog stabiliteits problemen op voor OS X?
https://www.macupdate.com/app/iphone/36244/chromium

Hoe zit het met nu met deze Aviator Chromium versie?
Voor de Chrome versies erna zijn nogal wat kwetsbaarheden ontdekt, 28, 29, 30 versies.
Kijkend naar CVE kwetsbaarheden voor chromium betreft dat kwetsbaarheden vanaf pakweg CVE-2013-2880 en levert dat iets van 40 ontdekte kwetsbaarheden sindsdien op. Niet allen hebben betrekking specifiek op oudere builds als deze maar ze zitten ertussen.

Zijn de patches voor oudere versies dan nog meegenomen in deze Aviator versie?
Ik heb zo'n vermoeden van niet, wellicht zijn sommige kwetsbaarheden niet van toepassing door de gereduceerde extensie plugin functionaliteit, maar toch.
Vind de veiligheid van een browser nog net even belangrijker dan een privacy beschermende browser. Als de veiligheid niet gegarandeerd is is je privacy natuurlijk ook niet gegarandeerd.


Intranet pagina's bezoeken geblokkeerd?

Deze schijnen geblokkeerd te zijn voor de veiligheid, veiligheid verhogend dus?
Nou,… je kan uitzonderingen instellen met daarnaast nog het aangeven van een voorkeur browser die dan opent om de pagina's alsnog te bekijken.
Bekijk je alsnog een mogelijk onveilige pagina met een andere browser, is dan het netto veiligheidsrisico voor je systeem niet hetzelfde?
Lijkt me van wel, vreemde oplossing; als dit te vaak voorkomt switcht een gebruiker waarschijnlijk weer direct naar die andere browser, wel zo makkelijk (netto resultaat, vul maar in).

Veiligheid door het weglaten van een aantal standaard ingebouwde plugins in chromium : nacl_irt_x86_32.nexe , PDF.plugin , PepperFlashPlayer.plugin , ppGoogleNaClPluginChrome.plugin .

Wanneer je de alternatieve flashplayer plugin en de pdf viewer plugin weglaat betekent dat voor flash bijvoorbeeld dat je browser beroep doet op de aanwezige standaard flashplayer van Adobe. Was het idee van de Chromium pepperflash juist niet of veiligheidsrisico te verlagen door met een alternatief te komen?
Met het weglaten van de pdf plugin, zal je dan het pdf moeten downloaden. Hopelijk is de Mac gebruiker zo wijs genoeg geweest de applicatie 'Voorvertoning' daarvoor standaard toe te wijzen en niet een pdf reader van adobe (wat mag en kan, wel goed monitoren op updates dan).
Het feitelijk downgraden van je security door twee belangrijke alternatieve plugins weg te laten maakt het download pakket wel iets van 31 mb kleiner, of het er echt veiliger op wordt is de vraag.
Veiligheid levert dan de click to play functie op , een functie die ook in andere browsers te activeren valt.


Meer privacy?

- Waar is de privacypolicy van dit bedrijf omtrent gebruik van deze browser?
- Opvallend is ook dat ik voor gebruik geen Eula voorgeschoteld krijg, of is dat normaal bij browsers?

- De aviator Privacyinstellingen lijken wat meer privacy te bieden in vergelijking met de standaard instellingen van chromium of een andere browser.
Dit is in geval van andere browsers slechts een kwestie van de instellingen doornemen en veranderen (het zit er dus gewoon vaak wel al in).
Iets wat ook kan in Chromium, Firefox, Safari.

* Safe Browsing / private browsing
* Deny 3rd party cookies
* Wel of niet activeren javascript
* Wel of niet activeren standaard plugins en extra plugins
* Uitschakelen van location services
* Internet historie legen bij afsluiten browser
* Java uitschakelen (zie ik bij deze browser niet)
* Do not track inschakelen
* Zoeksuggestie wel niet of op basis van favorieten of ook browser historie
* Pop up windows blokkeren
* Website storage (cookies e.d.) al dan niet algemeen accepteren of deels
* Wel of niet toestaan van het gebruik van microfoon en webcam functionaliteit

Dergelijke instellingen zouden met een aanpassing van de prefs-files van dergelijke browsers ook veranderd kunnen worden wanneer je dit als kant en klare installatie zou willen aanbieden aan anderen.

Sterker nog, het lijkt erop dat Firefox veel meer biedt aan inzichtelijke mogelijkheden en eenvoudig door een gebruiker zelf is te veranderen in de about:config.
* click to play voor plugins
* een enorme lijst aan mogelijkheden die ik hier even buiten beschouwing zal laten.

Met kant en klare aangepaste mozilla browser about:config prefs zou je veel en veel meer privacy kunnen bereiken (straatlengtes verschil).
Dat ligt echt lastiger met chromium of Safari.
Wat opvalt is dat een aantal aanwezige privacy instellingen hoger ingesteld hadden kunnen worden, oordeel zelf.

Het bespreken van de overige specifieke privacy instellingen laat ik even voor wat het is.


More 'questionable things' :

Standaard url staat ingesteld op de website www.whitehatsec.com/.. , "Show home button" aangevinkt.
Die kan je veranderen naar een blanco pagina door zelf een blanco url aan te maken, niet echt gebruikers vriendelijk.
Andere browsers hebben gewoon een aanklikbare optie van een blanco startpagina.

Opgelost? Nee, het begint pas als je van tabbed browsing houdt.
Elke nieuwe tab geeft direct weer de eigen pagina weer, kreeg het zo gauw niet veranderd.

Wat betekent dat voor je privacy (zonder referrers wel), je vertrekt tijdens het browsen elke keer van de bedrijfspagina.
De bezoekende site weet weliswaar niet waar je vandaan komt, WhiteHatSec weet wel naar welke pagina's je gaat.
Kortom, heeft dus aardig inzage in jouw browsinghabits (Privacy? Foutje bedankt? Even vergeten? Right,..).

"WhiteHat Aviator may use webservices to improve your browsing experience. You may optionally disable these services. Learn more ( op de eigen website)
"Predict network actions to improve page load performance" ?
"Enable phishing and malware protection" ?
Optimale Webservices & privacy? Laat maar, dan meestal geen optimale privacy.

Geen referrer header informatie, wel een hoop andere info over je systeem en je browser.
In ieder geval een hoop navigator info (oa je systeem os), navigator.vendor info 'WhiteHat Security Inc.' (toch weer mooie reclame, want het is natuurlijk geen browsermaker maar een bedrijf met andere belangrijke producten die het wil verkopen).

DuckDuckGo in plaats van Google en integreert de browser Disconnect

- Daar kan ik als 'leek' niets van terug zien in de voorkeur instellingen.
Onder voorkeur zoekmachines staan dezelfde voorkeurbrowsers ingesteld als in de vergelijkbare Chromium versie die ik heb bekeken.

* google.com (niet verwijderbaar met een 'x'-je)
* bing.com (verwijderbaar met een 'x'-je)
* nl.yahoo.com (verwijderbaar met een 'x'-je)
* nl.ask.com (verwijderbaar met een 'x'-je)

Ik had hier eerlijk gezegd dan alleen DuckDuckGo verwacht, daar werk ik niet mee, wellicht dat dat op een andere wijze werkt.
Evengoed staat hier een niet verwijderbare google search engine.

Meer extensies, niet allen zichtbaar in de voorkeursinstellingen

Uit de package contents kan ik wel enigszins afleiden welke extensies of aanvullende mogelijkheden zijn aangebracht.
DuckDuckGo DontBubble.Us functionaliteit, voorgeïnstalleerde plugins als;

* Disconnect 5.7.0
("external_crx": "extension_5_7_0.crx",
"external_version": "5.7.0",
"is_bookmark_app": false

"external_crx": "extension_5_7_0.crx",
"external_version": "5.7.0",
"is_bookmark_app": false)

* (Google ?) Docs 0.0.0.6.
( "external_crx": "docs.crx",
"external_version": "0.0.0.6")

Functionaliteit die ik niet kan thuis brengen :

* "external_crx": "youtube.crx",
"external_version": "4.2.5",
"is_bookmark_app": true

* "external_crx": "search.crx",
"external_version": "0.0.0.19",
"is_bookmark_app": true

* "external_crx": "gmail.crx",
"external_version": "7"

* "external_crx": "drive.crx",
"external_version": "6.2"

Daarnaast wordt de surfgeschiedenis, cache, cookies, auto-complete en lokale opslag na het herstarten van de browser verwijderd.
standaard cookies van derde partijen geblokkeerd
Do-Not-Track standaard ingeschakeld

- Voorkeursinstelling aanwezig in vele browsers, kwestie van veranderen. Dat kan je niet vatten onder nadeel, dat heet keuze vrijheid. Zoals ook deze 'browsermaker' (browser-editor?) de vrijheid neemt een aantal voorkeursinstellingen (in eigen voordeel) anders in te stellen.

wordt er zo min mogelijk data naar Google gestuurd.

- Interessante mededeling, transmissie data kan ik niet inhoudelijk controleren,
wel een testje doen met een opstart : hoeveel verbindingen probeert de browser direct te maken wanneer je haar slechts opstart?

Firefox doet het in stapjes, eerst pakweg 3 verbindingen, een klik in het zoekvenster 2 x Google erbij, in de urlbar er nog eens 3 x Google erbij.

Safari Opstart, geen verbindingen. Url enter 1x webprocess. Zoekopdracht met Google 13 verbindingen erbij.

Vergelijkbare versie Chromium opstart, globaal 14 verbindingen, wat meer over poort 80. 2x Dns udp verbinding met Google (1x ipv6 adres).


Aviator verbindingen / connectiepogingen bij opstart browser

1.UDP out 2001:4860:4860::8888:80 - google-public-dns-a.google.com
2.UDP out ***.***.*:53 (over udp poort 53, … nee hoor komt niets van in)
3.TCP out 173.194.78.95:443 - Google, wg-in-f95.1e100.net
4.TCP out 63.128.163.3:443 - www.whitehatsec.com , Savvis
5.TCP out 63.245.215.42:443 - mxr-zlb.vips.scl3.mozilla.com , Mozilla Corporation
6.TCP out 54.224.5.65:443 - ec2-54-224-5-65.compute-1.amazonaws.com , Amazon Technologies
7.TCP out 184.73.195.27:443 - ec2-184-73-195-27.compute-1.amazonaws.com , Amazon.com
8.TCP out 23.21.49.161:443 - ec2-23-21-49-161.compute-1.amazonaws.com , Amazon.com
9.TCP out 173.194.67.100:443 - wi-in-f100.1e100.net , Google
10.TCP out 173.194.167.138:443 - Google
11.TCP out 173.194.67.104:443 - wi-in-f104.1e100.net , Google
12.TCP out 173.194.67.103:443 - wi-in-f103.1e100.net , Google
13.TCP out 54.225.157.222:443 - ec2-54-225-157-222.compute-1.amazonaws.com , Amazon Technologies
14.TCP out 173.194.65.120:443 - ee-in-f120.1e100.net , Google
15.TCP out 74.125.136.120:443 - ea-in-f120.1e100.net , Google
16.TCP out 74.125.143.93:443 - la-in-f93.1e100.net , Google
17.TCP out 74.125.143.136:443 - la-in-f136.1e100.net , Google
18.TCP out 74.125.143.100:443 - la-in-f100.1e100.net , Google
19.TCP out 74.125.239.100:443 - nuq05s01-in-f4.1e100.net , Google
20.TCP out 74.125.239.98:443 - nuq05s01-in-f2.1e100.net , Google
21.TCP out 173.194.78.138:80 - wg-in-f138.1e100.net , Google
22.TCP out 173.194.78.113:80 - wg-in-f113.1e100.net , Google

? ? ? -> 15 connecties / connectiepogingingen met Google binnen een paar seconden bij het openen van de browser?
Of is het wel de connectie met Google maar niets sturen?

Duck duck go? Ik zie het niet, connectie via amazonaws ?

Aviator wordt door WhiteHat als een veilig alternatief voor Chrome, Firefox, IE en Safari gepresenteerd

- Die indruk heb ik ook gekregen, ik ben echter niet overtuigd.
Sterker nog, in de vergelijking met Chromium doet het misschien aardig.
In vergelijking met een mozilla browser met wat addons erbij, aanpassingen in de about config is het eigenlijk 'nergens' meer.#

Het beveiligingsbedrijf stelt dat de browserontwikkelaars wel allerlei veiligheids- en privacyverbeteringen hebben doorgevoerd, maar niet ver genoeg zijn gegaan om een aantal ernstige problemen op te lossen. Deze problemen zullen volgens WhiteHat blijven bestaan,..

- Well,… …
In de eerste plaats is het de basis, de Chromium-Google connectie die al wat meer op gespannen voet lijkt te staan met privacy.
Dat is inderdaad op te vangen met wat plugins / extensies of zelfs het aanpassen van code.
Ik heb de files van de Chromium versie vergeleken met die van Aviator, de directory structuur is sowieso iets anders waarbij er nogal wat bestanden van elkaar verschillen, door de naamgeving en de code die is aangepast.
Bij het verwijderen van de bestanden blijkt Aviator her en der bestanden te plaatsen en aan te maken, zoals wel meer programma's doen. Deze had zich ook nog een plaatsje gegeven in mijn locale lauchitems (waarom!).
Dat doet meestal wel een alarmbelletje (!) rinkelen, zeker als de standaard Chromium versie dat zelf niet doet, de code kan ik als 'doorsnee' gebruiker niet controleren.

Daarbij toegevoegd het tromgeroffel van een sterk marketing staaltje in combinatie met vingerwijzen en eigen borstklopperij.
Heel Amerikaans "kijk eens hoe slecht anderen zijn in vergelijking met hoe wij het doen". Je moet er van houden, voor mij is het geen pré.

Conclusie hier : AVIATOR browser = Code Orange / Red
(deze 'Mac' vertrouwt het niet en dat heeft niets met overheidsdiensten te maken, al doet het vlammetje zeker aan het logo van een bekende 'handhavingsdienst' denken, louter toeval natuurlijk en over icon smaak ga ik hier niet twisten).

Het leek mooi, ik had er zin in, 't kostte wat tijd, helaas ben ik weinig in positieve zin wijzer geworden (of dat Chromium is ook niets voor mij is).
Met een mozilla based browsertje in combinatie met een aangepast configje en wat addons ben je een stuk verder dan wat deze browser biedt, behalve dan die sandbox dan. Daar mag iemand met verstand van zaken naar kijken, hoe sterk is de sandbox?
Onbegrijpelijk dat een bedrijf 'zoveel moeite' doet om juist een chromium based browser te 'maken' terwijl een mozilla variant een stuk eenvoudiger zou zijn geweest (of heeft dat iets met licenties te maken?).


Laatste dingetje : WhiteHat Security Aviator Memory Leak ?

Iets voor de fine-tuning van de veilige app?
De Aviator Helper.app gaf iets van 36 meldingen die leken te duiden op memory leaking (?), "..class NSCFString autoreleased with no pool in place - just leaking.."
Maar hopen dat er niets 'Leaks' over één van de 22 verbindingen die het 'standaard open heeft'. Wederom iets om naar te kijken voor iemand die wel verstand heeft van programma code en meldingen.


P.s., best een goede kans dat ik iets of meer over het hoofd heb gezien (hoop informatie) ,
please correct me if i'm wrong.

# Indeed, dat is 'maar' mijn mening, ik sta overigens ook open voor goede tegenargumenten want wil graag over een goede browser beschikken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.