Este documento resume las características de seguridad de varios navegadores web populares como Internet Explorer, Firefox, Chrome, Opera y Safari. Cubre temas como protección de memoria, administración de extensiones, control de cookies, detección de phishing y malware, y vulnerabilidades reportadas para cada navegador.
2. Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
3. Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
6. Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
10. Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
13. Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
15. Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
16. Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
17. Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
24. Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
26. Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009