Edge: Wie Microsoft seinen neuen Browser absichern will

Detailliert beschreibt Microsoft neue und bekannte Techniken, mit denen die Sicherheit des Edge-Browsers "fundamental" verbessert werden soll. Dabei hilft auch der Verzicht auf alte Technik des Internet Explorers.

Artikel veröffentlicht am ,
Microsoft Edge soll deutlich sicherer werden als bestehende Browser.
Microsoft Edge soll deutlich sicherer werden als bestehende Browser. (Bild: Microsoft)

Um Microsofts neuen Browser Edge sicherer als andere zu machen, setzen die Entwickler auf viele verschiedene Techniken, die das Unternehmen in einem Blogeintrag zusammenfasst. Einige davon sind längst Standard in anderen Browsern, andere stammen aus der Entwicklung von Windows 10 oder sind eigens für Edge entstanden.

Stellenmarkt
  1. Business Analyst*in (m/w/d) SAP CO
    Stadtwerke München GmbH, München
  2. Administrator ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Berlin, Hamburg, Frankfurt am Main, München
Detailsuche

So unterstützt Edge etwa die sogenannte Content Security Policy (CSP), einen speziellen HTTP-Header, der effektiv vor Cross-Site-Scripting-Lücken schützen kann. Ebenso beherrscht Edge HTTP Strict Transport Security (HSTS), eine Erweiterung, mit der eine Webseite einem Browser mitteilen kann, dass künftig unverschlüsselte HTTP-Verbindungen nicht mehr zulässig sind.

Angriffe auf den Browser sollen darüber hinaus durch das neue Modell für Erweiterungen erschwert werden. So verzichtet Edge auf viel proprietären Ballast wie ActiveX und forciert dagegen die Verwendung von HTML5 und Javascript. Noch planen die Entwickler allerdings die Details dazu.

Dies ermöglicht nach Unternehmensangaben außerdem die durchgehende Verwendung des mit dem Internet Explorer 10 veröffentlichten Enhanced Protected Mode (EPM). Dadurch kann Edge einen viel stärkeren Gebrauch von App-Container-Sandboxes machen, so dass jede dargestellte Seite in eine eigene Sandbox "gesperrt" wird.

Besserer Umgang mit dem Arbeitsspeicher

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Da der Edge-Browser eine 64-Bit-Anwendung ist, sollte auch die in Windows genutzte Address Space Layout Randomization (ASLR) deutlich mehr Sicherheit bieten. Unter bestimmten Umständen kann ASLR in 32-Bit-Umgebungen an Wirksamkeit einbüßen.

Den in C- und C++-Code immer wieder auftretenden Fehlern bei der Speicherverwaltung will Microsoft mit einer Garbage Collection (MemGC) entgegentreten. Diese soll den Browser vor allem vor Use-After-Free-Lücken bewahren und basiert offenbar auf einer Referenzzählung. Zudem nutzt Edge den Control Flow Guard (CFG). Dabei handelt es sich um eine Erweiterung aus Visual Studio, die Mechanismen zur Überprüfung in den Code kompiliert, welche die möglichen Positionen stark einschränken soll, an die Schadcode springen kann.

Während der Vorschauphase für Windows 10 betreibt Microsoft zudem ein Bug-Bounty-Programm für Edge, bei dem für das Auffinden kritischer Lücken bis zu 15.000 US-Dollar gezahlt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
CATL stellt erste Natrium-Ionen-Akkus für Autos vor

160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
Artikel
  1. Erneuerbare Energien: Größte Gezeitenturbine geht vor Schottland in Betrieb
    Erneuerbare Energien
    Größte Gezeitenturbine geht vor Schottland in Betrieb

    Die Meere bieten viel Energie, die sich in elektrischen Strom wandeln lässt. In Schottland ist gerade ein neues Gezeitenkraftwerk ans Netz gegangen.

  2. Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
    Verschlüsselung
    Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen

    Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

  3. Spionagesoftware: Israelische Behörden überprüfen Pegasus-Hersteller NSO
    Spionagesoftware
    Israelische Behörden überprüfen Pegasus-Hersteller NSO

    War es eine Razzia oder eine freundliche Besichtigung? Der diplomatische Druck auf Israel wegen des Trojaner-Herstellers NSO zeigt offenbar Wirkung.

TheUnichi 20. Mai 2015

Sandboxed-Tabs und ein sicherer Browser sind zwei verschiedene Dinge. Nur weil Chrome...

SchmuseTigger 15. Mai 2015

Eine Backdoor in einem Browser. Sprich das der NSA schaut was genau du anschaust. Du...

SchmuseTigger 15. Mai 2015

Amazon wusste ich, Netflix nicht. Aber Amazon hat (glaube ich) keinen HTML5 player...

GodsBoss 15. Mai 2015

Bei Chrome weiß ich es nicht, aber Firefox-Extensions? Nie im Leben wird das klappen...

FreiGeistler 13. Mai 2015

Zuviel Werbung für das 'Galaxy S6 Edge' gesehen. M.e. viel Werbung und nichts dahinter...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional günstiger • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen (u. a. 14" 64GB 229€) • Alternate (u. a. Deepcool-Gehäuselüfter ab 24,99€) • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Philips-Fernseher 65" Ambilight 679€ [Werbung]
    •  /