Alemanha lança regras para browsers seguros

A agência federal de cibersegurança alemã, BSI, lançou um documento com guias sobre compliance com normas de cibersegurança em browsers web

Alemanha lança regras para browsers seguros

A Bundesamt für Sicherheit in der Informationstechnik – BSI, agência federal de cibersegurança alemã, lançou novas regras mínimas de compliance para browsers seguros. O guia deverá ser usado nos setores público e privado, relata a ZDNet, mas ainda é um rascunho.

Os browsers deverão cumprir os seguintes requisitos:

- Suportar TLS;

- Ter uma lista de certificados de confiança;

- Suportar certificados EV;

- Comparar certificados com lista CRL ou protocolo OCSP;

- Mostrar ícones ou cores diferenciadas quando as comunicações para um servidor remoto estão encriptadas ou em plaintext;

- Ligações a websites remotos com certificados expirados deverão só ser permitidas depois de aprovação do utilizador específico;

- Suportar HTTP STS (RFC 6797);

- Suportar SOP;

- Suportar CSP 2.0;

- Suportar SRI;

- Suportar atualizações automáticas;

- Suportar um mecanismo próprio de atualizações para componentes e extensões cruciais do browser;

- Atualizações deverão ser assinadas e verificáveis;

- O gestor de passwords deve armazenar passwords de forma encriptada;

- O acesso à password incorporada só pode ser permitido depois de o utilizador ter colocado a password mestra;

- Os utilizadores deverão poder apagar passwords do gestor;

- Os utilizadores deverão poder bloquear ou eliminar ficheiros cookie;

- Os utilizadores deverão poder bloquear ou eliminar histórico de auto-complete;

- Os utilizadores deverão poder bloquear ou eliminar histórico de navegação;

- Administradores das organizações deverão poder configurar ou bloquear a partilha de dados telemétricos ou de uso;

- Suportar um mecanismo capaz de verificar ameaças de conteúdo ou em URL;

- Deixar as organizações dirigirem listas negras de URLs locais;

- Suportar uma secção de definições onde os utilizadores poderão ativar ou desativar plugins, extensões ou JavaScript;

- Capacidade de importar configurações criadas centralmente, ideais para implementação corporativa a grande escala;

- Permitir aos administradores desativar sincronização na cloud;

- Ter direitos mínimos sobre o sistema operativo;

- Suportar sandboxing, com os componentes isolados uns dos outros e do sistema operativo. O acesso direto a recursos dos componentes isolados não pode ser possível;

- As páginas web deverão ser isoladas umas das outras;

- Devem ser programados em linguagem que permita armazenamento de proteções de memória;

- Os fabricantes deverão oferecer atualizações de segurança até 21 dias após a identificação pública de uma falha. As organizações deverão mudar de browser se este prazo não for cumprido;

- Usar proteções de memória do sistema operativo como ASLR ou DEP;

- Administradores das organizações deverão poder regular ou bloquear a instalação de extensões e add-ons não autorizados por si.

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 20 Julho 2019

IT INSIGHT Nº 20 Julho 2019

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.