O.Arch 8
Beschreibung
Das Hintergrundsystem MUSS beim Start auf die Aktualität des genutzten Web-Browsers prüfen. Wenn die Installation eines sicherheitsrelevanten Updates noch nicht erfolgt ist, DARF das Hintergrundsystem KEINEN Zugriff auf sensible Daten ermöglichen.
Kurzfassung
Prüfung auf Aktualität des genutzten Web-Browsers.
Testcharakteristik
Prüftiefe
| Bezeichnung | Mindestanforderungen an die Prüfung |
|---|---|
| CHECK | Der Evaluator validiert (englisch „check“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die vom Hersteller beschriebene Maßnahme im Hinblick auf ihre Wirksamkeit und räumt bestehende Zweifel (Plausibilitätsprüfung) aus, ob der Prüfaspekt und die damit verbundene Sicherheitsproblematik umfassend durch die beschriebenen Maßnahmen adressiert wird. Hierbei MUSS der Evaluator den aktuellen Stand der Technik für die jeweilige Plattform mitberücksichtigen. Die Validierung KANN weitergehende Schritte, wie z.B. eine Quelltextanalyse, umfassen, falls der Evaluator diese für eine umfassende Einschätzung benötigt. |
Ergänzende Informationen für Evaluatoren
Der Evaluator prüft, ob ein Zugriff auf sensible Daten mit einer veralteten Browserversion möglich ist. Das Hintergrundsystem kann im Rahmen der Verbindungsaufnahme durch den Web-Browser über Informationen im HTTP-Header prüfen, welche Version des Web-Browser genutzt wird. Allerdings ist das Hintergrundsystem auf die Kooperation des Web-Browsers angewiesen und kann diese Informationen nicht authentisch ermitteln. Es kann davon ausgegangen werden, dass der Nutzer seinerseits keinen unerlaubten Web-Browser mit einer gefälschten Browser-Kennung verwendet, da er sich an die Nutzungsbedingungen hält (vgl. OSP.User).