Pages

La agencia alemana de ciberseguridad recomienda Firefox como el navegador más seguro


El BSI de Alemania probó Firefox, Chrome, IE y Edge. Firefox fue el único navegador que superó todos los requisitos mínimos de las funciones de seguridad obligatorias.
Firefox es el único navegador que ha recibido las mejores calificaciones en una reciente auditoría realizada por la agencia alemana de ciberseguridad, la Oficina Federal Alemana de Seguridad de la Información (o Bundesamt für Sicherheit in der Informationstechnik - BSI).

El BSI probó Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 y Microsoft Edge 44. Las pruebas no incluyeron otros navegadores como Safari, Brave, Opera o Vivaldi.

La auditoría se llevó a cabo utilizando las reglas detalladas en una guía para "navegadores seguros modernos" que la BSI publicó el mes pasado, en septiembre de 2019.

La BSI normalmente utiliza esta guía para asesorar a las agencias gubernamentales y a las empresas del sector privado sobre qué navegadores son seguros de usar.

La agencia alemana de ciberseguridad publicó una primera guía de navegación segura en 2017, pero revisó y actualizó la especificación durante el verano.

El BSI actualizó su guía para tener en cuenta las medidas de seguridad mejoradas añadidas a los navegadores modernos, como HSTS, SRI, CSP 2.0, manejo de telemetría y mecanismos mejorados de manejo de certificados.

Según la nueva guía de BSI, para ser considerado "seguro", un navegador moderno debe satisfacer estos requisitos mínimos:

- Debe soportar TLS
- Debe tener una lista de certificados de confianza - Debe admitir certificados de validación extendida (EV)
- Debe verificar los certificados cargados contra una Lista de revocación de certificados (CRL) o un Protocolo de estado de certificados en línea (OCSP).
- El navegador debe utilizar iconos o resaltes de color para mostrar cuándo las comunicaciones con un servidor remoto están cifradas o en texto sin formato - Las conexiones a sitios web remotos que se ejecutan con certificados caducados deben permitirse sólo después de la aprobación específica del usuario
- Debe soportar HTTP Strict Transport Security (HSTS) (RFC 6797)
- Debe soportar la Política de Misma Origen (SOP) - Debe soportar la Política de Seguridad de Contenidos (CSP) 2.0
- Debe ser compatible con la integridad de los subrecursos (SRI)
- Debe soportar actualizaciones automáticas - Debe soportar un mecanismo de actualización separado para los componentes y extensiones cruciales del navegador.
- Las actualizaciones del navegador deben ser firmadas y verificables
- El administrador de contraseñas del navegador debe almacenar las contraseñas de forma encriptada - El acceso a la bóveda de contraseñas incorporada del navegador sólo debe permitirse después de que el usuario haya introducido una contraseña maestra.
- El usuario debe poder borrar las contraseñas del administrador de contraseñas del navegador.
- Los usuarios deben ser capaces de bloquear o eliminar archivos cookie - Los usuarios deben ser capaces de bloquear o eliminar el historial de autocompletar
- Los usuarios deben poder bloquear o eliminar el historial de navegación.
- Los administradores de la organización deben ser capaces de configurar o bloquear los navegadores para que no envíen datos de telemetría/uso - Los navegadores deben soportar un mecanismo para comprobar si hay contenido dañino/URLs.
- Los navegadores deben permitir que las organizaciones ejecuten listas negras de URLs almacenadas localmente.
- Debe admitir una sección de configuración en la que los usuarios puedan habilitar/deshabilitar plugins, extensiones o JavaScript: los navegadores deben poder importar configuraciones creadas de forma centralizada, lo que resulta ideal para implementaciones empresariales a gran escala.
- Debe permitir a los administradores desactivar las funciones de sincronización de perfiles basadas en la nube.
- Debe ejecutarse después de su inicialización con derechos mínimos en el sistema operativo - Debe soportar sandboxing. Todos los componentes del navegador deben estar aislados entre sí y del sistema operativo. La comunicación entre los componentes aislados sólo puede tener lugar a través de interfaces definidas. El acceso directo a los recursos de los componentes aislados no debe ser posible.
- Las páginas web deben estar aisladas entre sí, idealmente en forma de procesos independientes. También se permite el aislamiento a nivel de rosca.
- Los navegadores deben estar codificados usando lenguajes de programación que soporten protecciones de pila y memoria en pilas - El proveedor del navegador debe proporcionar actualizaciones de seguridad no más de 21 días después de la divulgación pública de un fallo de seguridad. Si el proveedor principal de navegadores no proporciona una actualización de seguridad, las organizaciones deben migrar a un nuevo navegador.
- Los navegadores deben utilizar protecciones de memoria del sistema operativo como la aleatorización del diseño del espacio de direcciones (ASLR) o la prevención de la ejecución de datos (DEP) - Los administradores de la organización deben ser capaces de regular o bloquear la instalación de complementos/extensiones no autorizados.

Según la BSI, Firefox es el único navegador que soporta todos los requisitos anteriores. Las áreas donde otros navegadores fallaron incluyen:

- Falta de soporte para un mecanismo de contraseña maestra (Chrome, IE, Edge)
- Sin mecanismo de actualización integrado (IE)
- No hay opción para bloquear la colección de telemetría (Chrome, IE, Edge)
- Sin soporte SOP (Same Origin Policy) (IE)
- Sin soporte para CSP (Política de Seguridad de Contenidos) (IE)
- Sin soporte SRI (Integridad de subrecursos) (IE)
- No hay soporte para perfiles de navegador, diferentes configuraciones

Enlace Web - Fuente

CompuTekni

¡No olvides seguirnos en Telegram para recibir las mejores noticias del día!

No hay comentarios.:

Publicar un comentario