En Güvenli Tarayıcı Belli Oldu: Firefox

Almanya’nın siber güvenlik ajansı, Firefox’u en güvenli tarayıcı olarak öneriyor. Almanya’daki Bundesamt für Sicherheit in der Informationstechnik (Alman Federal Bilgi Güvenliği Dairesi ) isimli kuruluş Firefox, Chrome, IE ve Edge tarayıcılarını test etti. Firefox, zorunlu güvenlik özellikleri için tüm minimum gereklilikleri yerine getiren tek tarayıcı oldu.

BSI, Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 ve Microsoft Edge 44’ü test etti. Testler Safari, Brave, Opera veya Vivaldi gibi diğer tarayıcıları içermiyordu.

Testler , BSI’nin  Eylül 2019’da yayınladığı “modern güvenli tarayıcılar” kılavuzunda ayrıntılı olarak açıklanan kurallar kullanılarak gerçekleştirildi .

BSI normalde bu kılavuzu devlet kurumlarına ve özel sektörden şirketlere hangi tarayıcıların kullanmanın güvenli olduğu konusunda bilgilendirmek için kullanır. Alman siber güvenlik ajansı, 2017 yılında ilk güvenli tarayıcı kılavuzunu yayınladı.

BSI, HSTS, SRI, CSP 2.0, telemetri yönetimi ve gelişmiş sertifika yönetimi mekanizmaları gibi modern tarayıcılara eklenen geliştirilmiş güvenlik önlemlerini hesaba katan rehberini geçen yaz güncelledi.

BSI’nin yeni kılavuzuna göre, “güvenli” kabul edilmek için modern bir tarayıcı, aşağıdaki minimum gereklilikleri yerine getirmelidir:

– TLS’yi desteklemeli
– Güvenilir sertifikaların bir listesi olmalı – Genişletilmiş doğrulama (EV) sertifikalarını desteklemeli
– Yüklenmiş sertifikaları Sertifika İptal Listesi’ne (CRL) veya Çevrimiçi Sertifika Durum Protokolüne (OCSP) karşı doğrulamalıdır
– Tarayıcı, uzak bir sunucuya yapılan iletişimlerin şifrelendiğinde veya düz metin olarak ne zaman şifrelenirse göstermek için simgeleri veya renk vurgularını kullanmalıdır
– Süresi dolmuş sertifikalarla çalışan uzak web sitelerine bağlantılara yalnızca belirli bir kullanıcı onayı alındıktan sonra izin verilmelidir
-HTTP Katı Taşıma Güvenliği (HSTS) (RFC 6797) desteklemelidir –
– Aynı Köken Politikasını (SOP) desteklemeli- İçerik Güvenlik Politikası (CSP) 2.0’ı desteklemeli
– Alt kaynak bütünlüğünü desteklemeli (SRI)
– Otomatik güncellemeleri desteklemeli- Önemli tarayıcı bileşenleri ve uzantıları için ayrı bir güncelleme mekanizmasını desteklemeli
– Tarayıcı güncellemeleri imzalanmış ve doğrulanabilir olmalıdır
– Tarayıcının şifre yöneticisi şifreleri şifreli bir biçimde saklamalıdır- Tarayıcının yerleşik parola kasasına erişime ancak kullanıcı ana şifre girdikten sonra izin verilmelidir
– Kullanıcı tarayıcının parola yöneticisinden parolaları silebilmelidir
– Kullanıcılar çerez dosyalarını engelleyebilmeli veya silebilmeli- Kullanıcılar otomatik tamamlama geçmişini engelleyebilir veya silebilmelidir
– Kullanıcılar tarama geçmişini engelleyebilir veya silebilmelidir
– Organizasyon yöneticileri, tarayıcıların telemetri/kullanım verilerini göndermesini yapılandırabilmeli veya engelleyebilmeli- Tarayıcılar zararlı içeriği/URL’leri kontrol etmek için bir mekanizmayı desteklemelidir
– Tarayıcılar, kuruluşların yerel olarak depolanan URL kara listelerini çalıştırmasına izin vermelidir
– Kullanıcıların eklentileri, uzantıları veya JavaScript’i etkinleştirebileceği/devre dışı kabileceği bir ayarlar bölümünü desteklemeli- Tarayıcılar, geniş ölçekli kurumsal dağıtımlar için ideal olan merkezi olarak oluşturulmuş yapılandırma ayarlarını içe aktarabilmelidir
– Yöneticilerin bulut tabanlı profil eşitleme özelliklerini devre dışı bırakmak için izin vermelidir
– İşletim sisteminde en az haklar ile başlatılmasından sonra çalışması gerekir- Kum kutulama desteklemelidir. Tüm tarayıcı bileşenleri birbirinden ve işletim sisteminden izole edilmelidir. Yalıtılmış bileşenler arasındaki iletişim yalnızca tanımlanmış arabirimler aracılığıyla gerçekleşebilir. Yalıtılmış bileşenlerin kaynaklarına doğrudan erişim mümkün olmamalıdır.
– Web sayfalarının birbirinden izole edilmesi gerekir, ideal olarak tek başına süreçler şeklinde. İş parçacığı düzeyinde yalıtıma da izin verilir.
– Tarayıcılar yığın ve yığın bellek korumaları destekleyen programlama dilleri kullanılarak kodlanmalıdır- Tarayıcı satıcısı, güvenlik kusurunun kamuya açıklanmasından sonraki 21 günden daha uzun bir süre içinde güvenlik güncelleştirmeleri sağlamalıdır. Birincil tarayıcı satıcısı bir güvenlik güncelleştirmesi sağlayamazsa, kuruluşların yeni bir tarayıcıya taşınması gerekir.
– Tarayıcılar Adres Alanı Düzeni Randomization (ASLR) veya Veri Yürütme Önleme (DEP) gibi işletim sistemi bellek korumaları kullanmalıdır.- Organizasyon yöneticileri, onaylanmamış eklentilerin/uzantıların yüklenmesini düzenleyebilmeli veya engelleyebilmeli.

BSI’ya göre, Firefox yukarıdaki tüm gereksinimleri destekleyen tek tarayıcı. Diğer tarayıcıların başarısız olduğu alanlar şunlardır:

– Ana parola mekanizması için destek eksikliği (Chrome, IE, Edge)
– Yerleşik güncelleme mekanizması yok (IE)
– Telemetri koleksiyonunu engelleme seçeneği yoktur (Chrome, IE, Edge)
– SOP (Aynı Başlangıç Politikası) desteği yok (IE)
– CSP (İçerik Güvenlik Politikası) desteği yok (IE)
– SRI (Subresource Integrity) desteği yok (IE)
– Tarayıcı profilleri, farklı yapılandırmalar (IE, Edge) için destek yok
– Organizasyonel şeffaflık eksikliği (Chrome, IE, Edge)

Tags:

About The Author

Reply