Firefox è l’unico browser ad avere ricevuto voti eccellenti in un recente audit effettuato dal Bundesamt fur Sicherheit (BSI), ufficio federale tedesco per la sicurezza informatica. Il BSI ha testato Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 e Microsoft Edge 44.
Nei test non sono stati inclusi altri browser quali: Safari, Brave, Opera e Vivaldi. L’audit è stato effettuato tenendo conto di linee guide che l’ufficio tedesco ha pubblicato lo scorso mese. Queste guide sono quelle che dovrebbero usare come riferimento per navigare in sicurezza le agenzie governative e le imprese del settore privato.
L’agenzia di cybersicurezza tedesca – riferisce ZDNet – aveva già pubblicato linee-guida alla navigazione sicura nel 2017 ma ha rivisto le specifiche durante l’estate. La guida è stata aggiornata tenendo conto di funzionalità di sicurezza integrate nei moderni browser, quali: HSTS, SRI, CSP 2.0, gestione della telemetria e migliori meccanismi per la gestione dei certificati.
Secondo gli ultimi dettami di BSI per essere considerato “sicuro”, un browser moderno deve soddisfare alcuni requisiti minimi: supportare i protocolli crittografici Transport Layer Security (TLS), indicare una lista di certificati “fidati”, supportare la validazione estesa (certificati di tipo EV), verificare gli elenchi di certificati revocati CRL (Certificate Revocation List, una directory in cui vengono raccolti i certificati non più validi) o l’Online Certificate Status Protocol (OCSP).
Ancora: il browser deve usare icone o evidenziare con colori quando la comunicazione con un server remoto avviene con modalità cifrate o in chiaro, deve supportare l’HTTP Strict Transport Security (HSTS), altri protocolli di sicurezza ancora e integrare funzionalità di aggiornamento automatico. Le password devono essere memorizzate con tecniche di cifratura e l’utente deve essere in grado di cancellarle con un gestore di password.
Il browser deve, inoltre, sfruttare tecniche pe la protezione della memoria quali l’Address Space Layout Randomization (ASLR) o la Data Execution Prevention (DEP). Le organizzazioni devono poter impedire o bloccare la possibilità di installare add-on ed estensioni varie.
