Google blijft security-features toevoegen aan Chrome, dat met afstand de meest gebruikte browser ter wereld is. Toch voldoet alleen Mozilla Firefox aan de veiligheidseisen van de Duitse overheid, zoals onlangs bekend werd. Is dat terecht? En zijn er niet genoeg alternatieven die daarnaast privacy hoog in het vaandel hebben staan?
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), deel van het Duitse ministerie van Binnenlandse Zaken, heeft een aantal concrete security-vereisten opgesteld. Het BSI legde zowel de desktop- als mobiele varianten van Firefox, Chrome, Edge en Safari langs deze meetlat. Aangezien de Duitse overheid met het nieuwe document niet-binded advies geeft over veilig webgebruik, kunnen andere organisaties er ook zinnige conclusies uit trekken. Het overheidsorgaan kijkt vooral naar de mate waarin internetgebruikers door de browser beschermd kunnen worden. Immers is internetgebruik inherent riskant, waardoor het aan software is om te assisteren. Privacy wordt niet al te uitgebreid meegenomen in de analyse.
Dat het BSI alleen de bekendste browsers heeft onderzocht, is niet al te verrassend. Meer dan 8 op de 10 internetbezoekers maakt gebruik van één van de eerder genoemde opties, met Chrome als overduidelijke koploper (65 procent marktaandeel). Hoewel er dus alternatieve browsers zijn waar we later op terugkomen, ligt de nadruk op de software die mensen daadwerkelijk gebruiken.
In Nederland heeft de regering geen soortgelijk onderzoek uitgevoerd. Er is enkel een webpagina beschikbaar die geschikte browsers voor overheidssites aanstipt.
Google Chrome: veilige browser, maar privacy een probleem
Google werkt continu aan nieuwe security-features voor Chrome. Daardoor voldoet het aan talloze criteria zoals ondersteuning voor Transport Layer Security (TLS) 1.3 en HTTP Strict Transport Security (HSTS) en kent het regelmatige updates. Het ontvangt als eerste security-updates die aan Chromium zijn toegevoegd, dat de basis vormt voor zowel Chrome als menig andere browser.
Dat wil niet zeggen dat Chrome foutloos door de BSI-checklist komt. Zo kunnen administrateurs niet binnen een organisatie Encrypted Media Extensions (EME) centraal uitzetten en vervangen met een veiliger alternatief. Tevens zijn slechts gedeeltelijk beveiligde (‘Mixed content’, met deels cleartext-HTTP naast het veiligere HTTPS) websites niet direct in de adresbalk te identificeren. Pas als een URL wordt gekopieerd en elders is geplakt, is dit inzichtelijk. Ook kunnen certificaten pas worden beheerd na dit te configureren en zijn deze niet zomaar in te trekken vanuit het lokale apparaat.
Tip: Nieuwe functie in Chrome structureert jouw tabblad-chaos
De veiligheid van een browser is op verschillende manieren te definiëren. Hoe dan ook geldt privacy voor velen als belangrijke overweging bij de browserkeuze. Het BSI benadrukt hierbij vooral het tracken in incognitomodus, iets waar Google zich schuldig aan zou hebben gemaakt. Het delen van gegevens aan derden, zelfs op toegestane wijze, kan als veiligheidsoverweging worden meegenomen. Wie dat doet, concludeert al gauw dat Chrome op dit gebied bijzonder slecht scoort. Trackingscripts en -cookies, het verzamelen van sessietelemetrie en het onversleuteld laten van DNS-queries zijn allemaal pijnpunten, zoals Privacytests.org aanstipt. De status van Chrome als vooraanstaande veilige browser is dus discutabel en afhankelijk van eigen interpretatie.
Mozilla Firefox: als winnaar uit de bus, maar is dat terecht?
In tegenstelling tot Chrome kreeg Firefox wel alle BSI-vinkjes groen. Let wel: het gaat hierbij enkel om de desktopvariant. Op Android is deze browser bijvoorbeeld vatbaar voor “stack smashing”, dat buffer overflows exploiteert. Deze praktijk kan leiden tot security-gevaren als het uitvoeren van code op het getroffen apparaat. Op de desktop is dit gevaar met de standaardinstellingen geweerd. Firefox is net als Chrome voorzien van een sandbox die leed van malafide websites overwegend dient te voorkomen.
Of Firefox daadwerkelijk de veiligste browser is, hangt af aan wie je het vraagt. VPN-diensten blijken verdeeld te zijn. Zo stelt NordVPN dat Mozilla’s aanbod door privacy-features veiliger is dan Chrome, terwijl diens concurrent ExpressVPN aanstipt dat Chrome regelmatiger van updates wordt voorzien. Qua tracking voorkomt Firefox veel, maar scripts en pixels van onder meer Bing, Facebook en X blijven aanwezig. Geen onfeilbaar cv dus, maar van de grotere browsers kent Firefox veel security-voordelen.
Microsoft Edge: wie meer betaalt, krijgt beheerfuncties
Edge is inmiddels alom bekend als de vervanger van het oude Internet Explorer, waar Microsoft ooit de browserwereld mee domineerde. Het is op Chromium gebaseerd en kent daardoor veel overeenkomsten met Chrome. Zo zijn certificaten eveneens deels online bewaard en is het lokaal intrekken hiervan pas na configuratie mogelijk. Daarnaast zijn gedeeltelijk onbeveiligde websites niet direct als zodanig te herkennen via de adresbalk.
Op één vlak valt Edge door de mand waar Chrome wel een voldoende scoorde bij de BSI. Het betreft hierbij het verzenden van telemetriedata, dat alleen in duurdere Windows 11-versies centraal te beheren is. Enkel bij de Enterprise-, Education- en Server-edities kunnen telemetrie- en diagnostieke data uitgezet worden door een systeemadministrateur.
Edge is daarnaast zeer vergelijkbaar met Chrome als het om privacy gaat. Opvallend genoeg houdt Edge een aantal trackers standaard tegen die Google wel toestaat, zoals die van Adobe, Amazon, Google zelf en Taboola. Uiteindelijk dient Edge gezien te worden als het Chrome-neefje dat het is, met overwegend dezelfde voordelen en tekortkomingen. Edge profiteert van enkele Windows 11-integraties zoals het naleven van dezelfde security-protocollen. Wel zijn er voorbeelden van ongewenst gedrag vanuit Microsoft die wijzen op bredere tracking, zoals het ongewenst importeren van Chrome-data.
Leestip: Microsoft Edge importeert Chrome-data zonder toestemming
Apple Safari: iOS-integraties
Safari is ook door het BSI geanalyseerd, met overwegend positieve resultaten. Voor dit onderzoek keek men enkel naar de mobiele variant (iOS) en niet op Macs (macOS). Safari profiteert van een sterke integratie binnen het Apple-ecosysteem, dat al minder vaak getroffen wordt door malware dan Windows of Linux. Het niet kunnen uitzetten van EME geldt als een pijnpunt, net als het ontbreken van een controle op buffer overflows. Het BSI geeft wel aan dat iOS dit zelf opvangt. Daardoor is Safari in zijn natuurlijke habitat op dit gebied een veilige browser.
Safari beschermt verder niet standaard tegen bekende trackers, hoewel het met Intelligent Tracking Prevention (ITP) dit wel kan bieden. Via een betaald iCloud-abonnement is Private Relay aan te zetten, dat voorkomt dat wie dan ook de gebruiker kan volgen.
En de alternatieven?
De beperkte schaal van het BSI-onderzoek betekent dat alternatieve browsers niet aan bod komen. Die zijn er genoeg: Brave, Opera, Tor, Vivaldi, enzovoort. Brave valt op door bijzonder rigoureus te zijn, onder meer door tracking van derden vrijwel volledig te weren en automatisch advertenties uit te schakelen. Dit betekent wel dat enkele websites problemen hebben met de adblocker van Brave. Een voorbeeld in september was YouTube, dat de Brave-browser herkende en daardoor de website voor sommigen blokkeerde.
Wie nog een stap verder wil gaan met anonimiteit, zou de Tor-browser kunnen installeren. Echter kent Tor een beruchte reputatie als sluis naar het dark web en cybercriminelen. Dat betekent dat sommige organisaties al standaard voorkomen dat er via Tor internettoegang kan worden verkregen. Aangezien Tor nog altijd het eigen IP-adres kwetsbaar maakt bij de entry node en de data vatbaar voor diefstal bij de exit node, is het geen ideale zakelijke optie.
Als we security niet al te breed definiëren, zijn deze alternatieven niet per se aantrekkelijker voor organisaties. Immers voorzien Google, Mozilla, Microsoft en Apple browsergebruikers van de meeste security-updates. Met plug-ins is potentieel schadelijke inhoud nog beter op Chrome, Edge en Firefox te blokkeren. Wie privacykwesties hoog in het vaandel heeft staan (of een beroep uitoefent waarbij dit essentieel is), dient echter Google te omzeilen. Alternatieven zijn er genoeg, alleen is het maar de vraag of een organisatie met thuiswerkers die werknemers kan overhalen een niche browser te gebruiken. De overgrote meerderheid van de wereld draait Chrome, Edge, Firefox of Safari. Om die reden zijn dat de enige reële keuzes, met Firefox als uitblinker als naast security ook privacy belangrijk geacht wordt binnen de organisatie.
Lees ook: Internet wereldwijd eenvoudig plat te leggen door ontwerpfout
22 uur geleden
Expert bijdrage
