image

Duitse overheid werkt aan minimale eisen voor veilige browsers

donderdag 27 juni 2019, 13:42 door Redactie, 2 reacties

De Duitse overheid werkt aan minimale eisen waar veilige browsers aan moeten voldoen, zodat ze door overheidspersoneel mogen worden gebruikt. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken al een eerste versie van de eisen.

Nu twee jaar later wordt er aan een update gewerkt, en een conceptversie is nu openbaar gemaakt (pdf). in de "Mindeststandard des BSI für sichere Web-Browser" staan verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het veilig opslaan van wachtwoorden en certificaatbeheer.

Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Daarbij moet de leverancier in het geval van ernstige kwetsbaarheden binnen 21 dagen met een update komen. Tevens moet de browser het mogelijk maken om verzamelde gegevens zoals cookies te verwijderen. Een andere voorwaarde is dat de browser met minimale rechten kan draaien en over een sandbox beschikt.

Naast eisen die aan de browser en leverancier worden gesteld, stelt de Duitse overheidsinstantie ook eisen aan het gebruik van de browser. Zo moet de installatie van add-ons centraal worden geregeld en moeten gebruikers niet in staat zijn om zelf add-ons te installeren. Tevens moet het synchroniseren van gegevens met de cloud en andere externe diensten zijn uitgeschakeld.

2-browserstrategie

Het BSI stelt verder dat beheerders in het geval van een ernstig beveiligingslek in de browser binnen zeven dagen in actie moeten komen, ongeacht of er een beveiligingsupdate beschikbaar is. Voor deze gevallen wijst de overheidsinstantie naar de "2-browserstrategie" waarbij er op een andere browser wordt overgestapt zolang er geen beveiligingsupdate voor de andere browser beschikbaar is. Met het openbaar maken van de conceptversie hoopt het BSI feedback van partijen te ontvangen.

Image

Reacties (2)
28-06-2019, 06:01 door Anoniem
Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt.
Zo moet de installatie van add-ons centraal worden geregeld en moeten gebruikers niet in staat zijn om zelf add-ons te installeren.
Apart. Ik zou denken dat als men van centraal beheer van add-ons uitgaat men ook wel van centraal beheer van de applicaties zelf zou uitgaan en dus ook de updates daarvan via een centraal mechanisme zou willen regelen. Of mis ik iets over hoe dat soort dingen tegenwoordig het best gedaan wordt?
28-06-2019, 09:43 door Anoniem
Kortom: de browser-maker wordt een steeds interessanter target. Immers, het gaat om signed updates die daarmee blind vertrouwd worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.