mic.gov.vnmic.gov.vn/upload_moi/2018/tcvn-ho-so-bao-ve-cho-trinh... · web viewtài liệu kỹ...
TRANSCRIPT
TCVN T I Ê U C H U Ẩ N Q U Ố C G I A
TCVN XXXX:2018Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HỒ SƠ BẢO VỆ CHO TRÌNH DUYỆT WEB
Information technology – Security techniques – Protection profile for Web Browser
HÀ NỘI – 2018
TCVN XXXX:YYYYTIÊU CHUẨN QUỐC GIA
2
TCVN XXXX:YYYY
3
TCVN XXXX:YYYY
MỤC LỤC
Lời nói đầu.......................................................................................................................................5
0. Giới thiệu...................................................................................................................................6
1. Phạm vi áp dụng......................................................................................................................7
2. Tài liệu viện dẫn.......................................................................................................................7
3. Thuật ngữ và định nghĩa..........................................................................................................8
4. Ký hiệu và thuật ngữ viết tắt...................................................................................................11
5. Giới thiệu PP..........................................................................................................................12
5.1. Tổng quan TOE...................................................................................................................12
5.2. Ứng dụng của trình duyệt web............................................................................................13
6. Các tuyên bố tuân thủ............................................................................................................13
6.1. Báo cáo phù hợp.............................................................................................................13
6.2. Các yêu cầu phù hợp CC................................................................................................14
6.3. Yêu cầu PP......................................................................................................................14
6.4. Yêu cầu gói......................................................................................................................14
7. Định nghĩa các vấn đề an toàn...............................................................................................14
7.1. Các mối đe doạ................................................................................................................14
8. Các mục tiêu an toàn.............................................................................................................15
8.1. Các mục tiêu an toàn cho TOE........................................................................................15
9. Các yêu cầu an toàn..............................................................................................................16
9.1. Các yêu cầu chức năng an toàn......................................................................................16
9.1.1. Hỗ trợ bằng mật mã (FCS)........................................................................................16
9.1.2. Bảo vệ dữ liệu người dùng (FDP).............................................................................16
9.1.3. Quản lý an toàn (FMT)..............................................................................................22
9.1.4. Bảo vệ của TSF (FPT)...............................................................................................24
Phụ lục A (quy định) Các yêu cầu tuỳ chọn..............................................................................28
Phụ lục B (quy định) Các yêu cầu dựa trên lựa chọn..............................................................30
4
TCVN XXXX:YYYYPhụ lục C (quy định) Yêu cầu mục tiêu.....................................................................................32
Thư mục tài liệu tham khảo...........................................................................................................36
5
TCVN XXXX:YYYY
Lời nói đầu
TCVN XXXX:YYYY hoàn toàn tương đương với Gói mở rộng phần mềm ứng dụng cho trình
duyệt web (Application Software Extended Package for Web Browser) của Hiệp hội đảm bảo
thông tin quốc gia của Hoa Kỳ NIAP, phiên bản 2.0 ngày 16/06/2015.
TCVN XXXX:YYYY do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị,
Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
6
TCVN XXXX:YYYY
0. Giới thiệu
Tài liệu kỹ thuật “Gói mở rộng phần mềm ứng dụng cho Trình duyệt web” là tài liệu của Hiệp hội
đảm bảo thông tin quốc gia của Hoa Kỳ NIAP (National Information Assurance Partnership), tổ
chức giám sát chương trình quốc gia về đánh giá các sản phẩm thương mại về công nghệ thông
tin (COTS) dựa trên tiêu chí chung CC đánh giá An toàn Công nghệ Thông tin (Common Criteria
for Information Technology Security Evaluation) của quốc tế.
Dự thảo này được xây dựng dựa trên cơ sở chấp nhận nguyên vẹn nội dung tài liệu quốc tế “Gói
mở rộng phần mềm ứng dụng cho Trình duyệt web - Application Software Extended Package for
Web Browsers“, phiên bản 2.0, ngày 16/6/2015.
7
TCVN XXXX:YYYY
Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho trình duyệt web
Information Technology – Security techniques – Protection profile for Web browser
1. Phạm vi áp dụng
Tiêu chuẩn này dùng để mô tả các chức năng an toàn của trình duyệt web theo các điều khoản
của Tiêu chí chung về đánh giá an toàn công nghệ thông tin (CC) và để xác định các yêu cầu
chức năng và đảm bảo an toàn cho trình duyệt web.
Trình duyệt web là ứng dụng trên máy khách để truy cập và thể hiện nội dung máy chủ web cung
cấp, chủ yếu sử dụng giao thức HTTP hoặc HTTPS. Trình duyệt web đã phát triển trong nhiều
năm, ban đầu là một công cụ hiển thị nội dung tĩnh đơn giản, không thay đổi các trang web và
sau đó trở thành môi trường thể hiện cho những nội dung web đa dạng hơn. Việc sử dụng trình
duyệt để quản trị tài khoản, máy chủ hoặc các hệ thống nhúng từ xa đòi hỏi trình duyệt phải xử lý
thông tin nhạy cảm một cách an toàn. Những cải tiến như Tabs, Extensions và HTML5 không chỉ
tăng chức năng cho trình duyệt mà còn đặt ra những vấn đề mới về an toàn thông tin. Trình
duyệt web là phương thức chính để truy cập Internet, và do tính phức tạp của trình duyệt và
thông tin mà trình duyệt xử lý, nên các trình duyệt web trở thành mục tiêu của tin tặc. Do vậy,
vấn đề an toàn của trình duyệt web là vấn đề quan trọng nhất và cần phải cải thiện để giảm rủi ro
an toàn thông tin cho máy khách và hệ thống mạng của tổ chức.
Tiêu chuẩn này cùng với tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ
cho phần mềm ứng dụng” cung cấp tập hợp Yêu cầu chức năng an toàn (SFR) cơ bản cho trình
duyệt web. Nhằm mục tiêu cải tiến an toàn thông tin của trình duyệt bằng cách khuyến nghị sử
dụng các dịch vụ an toàn hệ điều hành và yêu cầu sử dụng công nghệ cô lập/sandboxing và
giảm thiểu tác động của môi trường do nền tảng cung cấp.
Ngoài ra, những yêu cầu này xác định chức năng an toàn trình duyệt phải có. Những yêu cầu
đưa ra trong tài liệu này áp dụng cho tất cả trình duyệt chạy trên bất kỳ nền tảng hệ điều hành
nào, không phân biệt cấu trúc nền tảng bên dưới.
Các thuật ngữ trình duyệt web, trình duyệt và TOE có thể sử dụng thay thế cho nhau trong tài
liệu này.
2. Tài liệu viện dẫn
8
T I Ê U C H U Ẩ N Q U Ố C G I A TCVN XXXX:YYYY
TCVN XXXX:YYYYCác tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn
ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công
bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).
NIAP Application Software Extended Package for Web Browsers (Gói mở rộng phần mềm ứng
dụng cho Trình duyệt web), phiên bản 2.0, ngày 16/6/2015.
3. Thuật ngữ và định nghĩa
Trong tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau:
3.1
Tiêu chí chung CC (Common Criteria)
Tiêu chí chung để đánh giá an toàn công nghệ thông tin.
3.2
Gói mở rộng EP (Extended Package)
Một thực hiện độc lập tập các yêu cầu an toàn đối với một loại sản phẩm mở rộng trong PP này.
3.3
Hồ sơ bảo vệ PP (Protection Profile)
Tập các yêu cầu an toàn độc lập với sự cài đặt cho một chủng loại sản phẩm.
3.4
Mục tiêu/đích an toàn ST (Security Target)
Tập các yêu cầu an toàn phụ thuộc sự cài đặt cho một sản phẩm cụ thể.
3.5
Đích đánh giá TOE (Target of Evaluation)
Các sản phẩm được đánh giá. Trong tiêu chuẩn này là phần mềm ứng dụng và tài liệu hỗ trợ.
3.6
Chức năng an toàn của TOE TSF (TOE Security Funtionality)
Chức năng an toàn của sản phẩm được đánh giá
3.7
Đặc tả tóm tắt của TOE TSS (TOE Summary Specifications)
Mô tả về cách TOE thoả mãn các SFR trong một ST
9
TCVN XXXX:YYYY3.8
Yêu cầu chức năng an toàn SFR (Security Functional Requirement)
Yêu cầu toàn bắt buộc bởi TOE
3.9
Yêu cầu đảm bảo an toàn SAR (Security Assurance Requirement)
Yêu cầu để đảm bảo an toàn của TOE
3.10
Tiện ích (Add-on)
Khả năng hoặc chức năng thêm vào ứng dụng. Thuật ngữ này bao gồm plugins, extensions, và
thành phần điều khiển khác.
3.11
Quản trị viên (Administrator)
Quản trị viên chịu trách nhiệm quản lý các hoạt động bao gồm thiết lập chính sách mà tổ chức
áp dụng trên trình duyệt. Quản trị viên có thể hoạt động từ xa. Nếu nền tảng không do tổ chức
quản lý thì người dùng hoạt động như một quản trị viên Phần mềm chạy trên nền tảng và thực
hiện nhiệm vụ thay thế cho người dùng hoặc của sở hữu của nền tảng đó, cũng như các tài liệu
hỗ trợ của ứng dụng.
Thuật ngữ Mục tiêu an toàn (TOE) và ứng dụng có nghĩa như nhau trong tiêu chuẩn này.
3.12
Giả mạo yêu cầu chéo (Cross Site Request Forger - CSRF)
Điểm yếu, nơi kẻ tấn công tìm được một người dùng mục tiêu để thực thi một kịch bản với
quyền người dùng đó.
3.13
Miền (Domain)
Một vùng tự trị, thẩm quyền và kiểm soát trên Internet (ví dụ abc.com).
3.14
Phần mở rộng Extension (Extension)
Gói mã lệnh thêm vào trình duyệt để thêm chức năng cụ thể mà trình duyệt mặc định không hỗ
trợ.
3.15
10
TCVN XXXX:YYYYNgôn ngữ đánh dấu siêu văn bản (HyperText Markup Language - HTML)
Ngôn ngữ được máy chủ web sử dụng để hiển thị nội dung trên các trình duyệt web.
3.16
Ngôn ngữ đánh dấu siêu văn bản phiên bản 5 (HyperText Markup Language 5 - HTML5)
Phiên bản mới của HTML kết hợp nhiều tính năng mới làm phong phú cho trải nghiệm duyệt
web.
3.17
Giao thức truyền dẫn siêu văn bản HTTP (HyperText Transfer Protocol)
Giao thức để truyền thông trên web
3.18
Giao thức truyền dẫn siêu văn bản bảo mật HTTPS (HyperText Transfer Protocol Secure)
Phiên bản bảo mật của HTTP, chạy qua đường hầm mã hóa SSL/TLS
3.19
JavaScript (JavaScript)
Ngôn ngữ kịch bản phổ biến được tích hợp vào các trang web để tạo nội dung động, tương tác.
3.20
Plug-in (Plug-in)
Phần thêm vào trình duyệt để xử lý kiểu nội dung web đặc biệt.
3.21
Pop-up (Pop-up)
Đoạn mã web làm cho trình duyệt mở một cửa sổ mới bên ngoài sửa sổ hiện tại.
3.22
Cổng ứng dụng (port)
Cấu trúc ứng dụng cụ thể có chức năng như một điểm truyền thông cuối trong hệ điều hành máy
tính; trong môi trường web, cổng 80 là cổng mặc định cho truyền thông HTTP, nhưng có thể cấu
hình sử dụng cổng khác (cổng theo sau tên miền hoặc tên miền con (ví dụ http://abc.com:80)
3.23
Cô lập (Sandbox)
11
TCVN XXXX:YYYYCơ chế bảo mật để phân tách tiến trình đang chạy thường được sử dụng để đánh giá hoặc chạy
chương trình không được xác thực có thể chứa mã độc hại bằng cách giảm các quyền để không
cho phép chương trình gây hại đến hệ thống chủ
3.24
Dữ liệu nhạy cảm (Sensitive Data)
Dữ liệu nhạy cảm có thể bao gồm dữ liệu tổ chức hoặc người dùng hoặc có thể là dữ liệu ứng
dụng như dữ liệu các biểu mẫu hoặc một giao dịch. Dữ liệu nhạy cảm ít nhất bao gồm thông tin
có thể định danh người dùng (Personally Identifiable Informaiton – PII), thông tin cá nhân, và
khoá. Dữ liệu nhạy cảm do tác giả PP định danh trong TSS của ứng dụng.
3.25
Tên miền con (Sub-domain)
Tên miền Internet mà là một phần của tên miền chính, được biểu diễn bằng tiền tố đứng trước
tên miền chính (ví dụ, new.abc.com)
3.26
Tabs (Tabs)
Cho phép trình duyệt hiển thị nội dụng từ nhiều trang web trong cùng một cửa sổ.
3.27
Trình duyệt web (Web Browser)
Ứng dụng lấy và hiển thị lại nội dung mà máy chủ web cung cấp. Thuật ngữ trình duyệt web,
trình duyệt, và TOE sử dụng thay thế cho nhau trong tài liệu này.
3.28
XSS (Cross Site Scripting)
Việc chèn nội dung không tin cậy vào ứng dụng web có thể bị lỗ hổng để hiển thị và thực thi nội
dung đó trên hệ thống nạn nhân.
4. Ký hiệu và thuật ngữ viết tắt
CRL CRL Certificate Revocation List Danh sách thu hồi chứng thư số
CSRF Cross Site Request Forgery Giả mạo yêu cầu chéo
EP Extended Package Gói mở rộng
GPU Graphics Processing Unit Đơn vị xử lý đồ hoạ
HTML HyperText Markup Language version Ngôn ngữ đánh dấu siêu văn bản
HTML5 HyperText Markup Language version 5 Ngôn ngữ đánh dấu siêu văn bản
12
TCVN XXXX:YYYY
phiên bản 5
HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn bản
HTTPS Hypertext Transfer Protocol Secure Giao thức truyền siêu văn bản an
toàn
IETF Internet Engineering Task Force Lực lượng chuyên trách kỹ thuật
Internet
NIAP National Information Assurance
Partnership
Hiệp Hội đảm bảo thông tin quốc
gia (Hoa Kỳ)
NIST National Institute of Standards and
Technology
Viện tiêu chuẩn và Công nghệ
quốc gia (Hoa Kỳ)
OCSP Online Certificate Status Protocol Giao thức trạng thái chứng nhận
trực tuyến
PDF Portable Document Format Định dạng tài liệu lưu động
RFC Request for Comment Yêu cầu nhận xét
SasS Software as a Service Phần mềm dịch vụ
SAR Security Assurance Requirement Yêu cầu đảm bảo an toàn
SSL Secure Sockets Layer Giao thức bảo mật SSL
TLS Transport Layer Security An toàn tầng giao vận
URI Uniform Resource Identifier Định danh tài nguyên thống nhất
URL Uniform Resource Locator Định vị tài nguyên thống nhất
W3C World Wide Web Consortium Tổ chức W3C
XSS Cross Site Scripting Lỗ hổng, tấn công XSS
5. Giới thiệu PP
5.1. Tổng quan TOE
Đích đánh giá trong tài liệu này là trình duyệt web chạy trên bất kỳ hệ điều hành hoặc nền tảng
nào và sử dụng giao thức HTTP và HTTPS để thể hiện nội dung web.
Tiêu chuẩn này mô tả chức năng an toàn mở rộng của trình duyệt theo CC. Như một phần mở
rộng của phần mềm ứng dụng, nội dung trong tiêu chuẩn này kết hợp với các yêu cầu sau của
tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng
dụng” để đánh giá cho trình duyệt web: FCS_CKM.1.1, FCS_CKM.2.1, FCS_COP.1.1(*),
13
TCVN XXXX:YYYYFCS_DTLS_EXT.1.*, FCS_HTTPS_EXT.1.*, FCS_RBG_EXT.2.*, FCS_TLSC_EXT.1.*,
FIA_X509_EXT.1.*, FIA_X509_EXT.2.*.
5.2. Ứng dụng của trình duyệt web
Trình duyệt web được ứng dụng để thực hiện nhiều tác vụ, có thể chia thành ba trường hợp
chính sau:
[Trường hợp 1] Lướt web
Trình duyệt web được sử dụng để truy xuất và hiển thị nội dung trên web như các trang web,
truyền thông trực tuyến, hình ảnh và định dạng đặc biệt (như Java, Flash, Word, PDF). Trình
duyệt web cũng có thể sử dụng để viết nội dung lên các trang web (web 2.0, Facebook). Lướt
web có thể thực hiện qua Internet hoặc Intranet.
[Trường hợp 2] Máy khách quản từ xa
Trình duyệt sử dụng để cung cấp giao diện quản trị từ xa cho hệ thống như các máy chủ, thiết bị
mạng và hệ thống nhúng như SCADA, ti vi và thiết bị điều khiển nhiệt thông minh. Khác với việc
lướt web, ở đó trình duyệt web đang tương tác với máy chủ không xác định, thì trong trường
hợp này trình duyệt web hoạt động như một máy khách quản trị từ xa, đang kết nối tới máy chủ
với quyền người dùng tin cậy.
[Trường hợp 3] Tạo nội dung
Trình duyệt web sử dụng để tạo nội dung thông qua các phần mềm cũng như dịch vụ với số
lượng ngày càng tăng, bao gồm Microsoft Office 365, Google Driver, và Adobe Creative Cloud,
nơi lưu trữ trực tuyến dữ liệu và hồ sơ người dùng.
6. Các tuyên bố tuân thủ
6.1. Báo cáo phù hợp
Hồ sơ bảo vệ cho phần mềm ứng dụng định nghĩa các yêu cầu chức năng an toàn (SFR) và yêu
cầu đảm bảo an toàn cơ bảncho các sản phẩm phần mềm ứng dụng. EP này cung cấp thêm các
yêu cầu SFR mở rộng và cùng vói Hoạt động đảm bảo cho trình duyệt web. Hoạt động đảm bảo
là hoạt động đánh giá viên sẽ thực hiện để xác định trình duyệt web có đáp ứng SFR.
EP này tương thích với Phần 2 (đã mở rộng) và Phần 3 (đã mở rộng) của Tiêu chí Chung phiên
bản 3.1, sửa đổi lần 4. Để phù hợp với EP này ST phải có tất cả thành phần trong EP này và kết
hợp với tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm
ứng dụng”.
- vô điều kiện (luôn luôn được yêu cầu)
- dựa trên lựa chọn (được yêu cầu khi các lựa chọn được chọn trong các yêu cầu vô điều kiện)
14
TCVN XXXX:YYYYvà có thể bao gồm tuỳ chọn và/hoặc thành phần mục tiêu mong muốn nhưng không yêu cầu
phải đáp ứng.
Theo Phần 1 của CC các yêu cầu phụ thuộc không được đưa vào khi chúng được giải quyết
bằng các SFR khác. Hoạt động đảm bảo cung cấp bằng chứng đầy đủ để thoả mãn bất kỳ yêu
cầu phụ thuộc nào
6.2. Các yêu cầu phù hợp CC
EP này phù hợp với Phần 2 (đã mở rộng) và Phần 3 (đã mở rộng) của Tiêu chí Chung phiên bản
3.1, sửa đổi lần 4. [3], [4].
6.3. Yêu cầu PP
EP này không tuyên bố sự phù hợp với bất kỳ hồ sơ bảo vệ nào khác.
6.4. Yêu cầu gói
EP này yêu cầu tuân thủ Công nghệ thông tin – Các kỹ thuật an toàn – An toàn thông tin cho
phần mềm ứng dụng.
7. Định nghĩa các vấn đề an toàn
Vấn đề an toàn được mô tả dưới dạng các mối đe dọa mà trình duyệt web dự kiến sẽ giải quyết,
các giả định về môi trường hoạt động, và bất kỳ các chính sách an toàn nào của tổ chức mà
TOE dự kiến sẽ thực thi.
Tài liệu này không lặp lại mối đe doạ, giả định và chính sách an toàn đã nêu trong tiêu chuẩn
Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng dụng nhưng
việc áp dụng nhưng thế nào phụ thuộc vào tài liệu gói mở rộng này. Vùng với mối đe doạ, giải
định và chính sách an toàn của tổ chức mà tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an
toàn – Hồ sơ bảo vệ cho phần mềm ứng dụng đã định nghĩa, tài liệu này định nghĩa thêm cho
trình duyệt web cũng như đích đánh giá.
Đáng chú ý, trình duyệt web có rủi ro đặc biệt đối với mối đe doạ tấn công mạng đã định nghĩa
trong tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng
dụng. Đối tượng tấn công có thể sử dụng kỹ thuật lừa đảo hoặc kỹ nghệ xã hội để thuyết phục
người dùng truy cập vào một trang web độc hại, Người dùng cũng có thể vô tình truy cập vào
trang web độc hại trong quá trình duyệt web. Các trang web sau đó sẽ thể nội dung độc hại trên
trình duyệt của người dùng để khai thác và thực hiện cài đặt mã độc mà không có bất kỳ thông
báo nào cho người dùng.
7.1. Các mối đe doạ
15
TCVN XXXX:YYYYCác mối đe doạ cho trình duyệt web bao gồm các mối đe doạ mô tả trong tiêu chuẩn Công nghệ
thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng dụng và những mối đe doạ
sau đây:
- Mối đe dọa tiện ích độc hại (T.FLAWED_ADDON): Chức năng của trình duyệt web có thể
được mở rộng thông qua việc tích hợp các tiện ích và công cụ của bên thứ ba. Sử dụng các
phần mềm addon độc hại hoặc dễ bị tấn công có thể dẫn đến các cuộc tấn công nhằm vào cả hệ
thống. Những cuộc tấn công như vậy cho phép truy cập trái phép vào những thông tin nhạy cảm
trong trình duyệt, truy cập trái phép vào hệ thống tập tin nền tảng, hoặc thậm chí là leo thang đặc
quyền cho phép truy cập trái phép vào ứng dụng của hệ điều hành.
- Vi phạm chính sách cùng nguồn (T.SAME-ORIGIN_VIOLATION): Vi phạm chính sách có
cùng nguồn gốc là một loại tấn công mạng (thường là T.NETWORK_ATTACK trong tiêu chuẩn
Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng dụng) liên quan
đến việc nội dung web vi phạm chính sách kiểm soát truy cập được thực thi bởi trình duyệt web
trong việc tách nội dung của các tên miền web khác nhau. Vi phạm chính sách cùng nguồn được
xác định là một mối đe dọa đối với các trình duyệt web, vì các cuộc tấn công này vi phạm việc
thực hiện các chính sách kiểm soát truy cập.
Các cuộc tấn công liên quan đến vi phạm chính sách cùng nguồn gốc bao gồm:
- Việc bảo vệ không đầy đủ các thẻ phiên có thể dẫn tới việc chiếm quyền kiểm soát phiên, khi
mà một token bị lấy trộm và sử dụng lại để đạt được các đặc quyền của người dùng khởi tạo
phiên.
- Tấn công Cross-site scripting (XSS) và Cross-site Request Forgery (CSRF) là hình thức tấn
công sử dụng để chiếm định danh chứng nhận người dùng trong một trang web (thường là bằng
cách đánh cắp thẻ phiên). Hình thức tấn công này có nhiều khả năng là hậu quả của vấn đề an
toàn máy chủ không tốt, nhưng một số trình duyệt kết hợp công nghệ đang cố gắng để phát hiện
loại tấn công này.
8. Các mục tiêu an toàn
Tài liệu này gói mở rộng này đưa ra thêm mục tiêu an toàn so với mục tiêu đã xác định trong tiêu
chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – Hồ sơ bảo vệ cho phần mềm ứng dụng
8.1. Các mục tiêu an toàn cho TOE
- MỤC TIÊU TOÀN VẸN (O.INTEGRITY)
Giải quyết bằng: FPT_DNL_EXT.1, FPT_MCD_EXT.1
- MỤC TIÊU QUẢN LÝ (O.MANAGEMENT)
Giải quyết bằng: FDP_TRK_EXT.1, FMT_MOF_EXT.1
- MỤC TIÊU BẢO VỆ LƯU TRỮ (O.PROTECTED_STORAGE)
16
TCVN XXXX:YYYYGiải quyết bằng: FDP_COO_EXT.1, FDP_PST_EXT.1
- MỤC TIÊU BẢO VỆ TRUYỀN THÔNG (O.PROTECTED_COMMS):
Giải quyết bằng: FCS_STS_EXT.1, FDP_STR_EXT.1, FPT_INT_EXT.1, FPT_INT_EXT.2
- MỤC TIÊU PHÂN TÁCH TÊN MIỀN (O.DOMAIN_ISOLATION): Để giải quyết các mối đe dọa
tấn công mạng kết hợp với lộ nội dung giữa các tên miền khác nhau, trình duyệt web phải bỏ
đảm nọi dung giữa tên miền khác nhau (ví dụ trong một tab hoặc iFrame) được phân tách.
Giải quyết bằng: FDP_ACF_EXT.1.1, FDP_SBX_EXT.1, FDP_SOP_EXT.1
- MỤC TIÊU TOÀN VẸN ADDON (O.ADDON_INTEGRITY): Để giải quyết các mối đe dọa add-
on lỗi hoặc độc hại, trình duyệt web phải có cơ chế đảm bảo tính toàn vẹn. Việc này bao gồm
việc kiểm tra và xác thực thời gian cài đặt và cập nhật.
Giải quyết bằng: FPT_AON_EXT.1, FPT_AON_EXT.2
9. Các yêu cầu an toàn
Phần này mô tả về những yêu cầu an toàn mà TOE phải đáp ứng. Trình duyệt không phục thuộc
vào các add-on bên thứ ba hoặc nhà cung cấp add-on mà không tuân thủ cô lập của trình duyệt,
để đáp ứng những yêu cầu sau. Những thành phần chức năng của yêu càu an toàn từ Phần 2
[2]] của CC. Những ký hiệu dưới đây được dùng là:
- Hoạt động Lựa chọn – Selection (hiển thị bằng chữ in nghiêng): dùng để chọn 1 hay nhiều lựa
chọn được cung cấp bởi CC khi ra yêu cầu. Lựa chọn phải thực hiện trong ST
- Hoạt động Chỉ định - Assignment (hiển thị bằng chữ in nghiêng): dùng để chỉ định 1 giá trị cụ
thể cho 1 thông số không cụ thể, ví dụ như chiều dài của mật khẩu. Hiển thị giá trị trong ngoặc
vuông sẽ thông báo chỉ định.
- Hoạt động Lặp lại - Iteration: được xác định với 1 số bên trong ngoặc đơn (ví dụ “(1)”).
9.1. Các yêu cầu chức năng an toàn
Những yêu cầu chức năng an toàn trong phần này được xuất phát từ Phần 2 của Tiêu chí
Chung dùng Đánh giá an toàn Công nghệ Thông tin, phiên bản 3.1 – sửa đổi lần 4, với các thành
phần chức năng được mở rộng thêm.
9.1.1. Hỗ trợ bằng mật mã (FCS)
9.1.2. Bảo vệ dữ liệu người dùng (FDP)
9.1.2.1. FDP_ACF_EXT.1 Phân tách lưu trữ phiên và lưu trữ cục bộ
FDP_ACF_EXT.1.1
17
TCVN XXXX:YYYYTrình duyệt phải phân tách lưu trữu cục bộ (cố định) và lưu trữ phiên (tạm thời) dựa trên tên
miền, giao thức và cổng:
Lưu trữ phiên chỉ nên truy cập được từ cửa sổ/ tab ban đầu.
Lưu trữ cục bộ chỉ nên truy cập được từ cửa sổ/ tabs chạy cùng ứng dụng web.
Chú ý áp dụng: Việc tách lưu trữ cục bộ và lưu trữ phiên được miêu tả trong tài liệu khuyến
nghị của tổ chức World Wide Web Consortium (W3C): “Web storage”.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo nó mô tả cách trình duyệt phân tách lưu trữ cục bộ
và lưu trữ phiên.
Hướng dẫn
Đánh giá viên phải kiểm tra hướng dẫn vận hành để xác minh tài liệu có ghi lại vị trí trên hệ
thống tập tin sử dụng để lưu trữ cục bộ và vị trí sử dụng để lưu trữ phiên.
Đánh giá
Đánh giá viên phải lấy hoặc tạo các tập lệnh dựa trên JavaScript để lưu trữ và truy xuất thông tin
từ lưu trữ cục bộ và lưu trữ trong phiên và phải thiết lập một máy chủ web với hai hoặc nhiều
trang web có tên miền khác nhau sử dụng các giao thức hoặc cổng khác nhau. Đánh giá viên
phải áp dụng các kịch bản vào các trang web và phải thực hiện phép đánh giá sau đây:
Đánh giá 1: Đánh giá viên phải mở hai hoặc nhiều cửa sổ trình duyệt/ tab và điều hướng
đến cùng một trang web. Đánh giá viên phải xác minh rằng tập lệnh để truy cập vùng lưu
trữ phiên đang chạy trong một cửa sổ/ tab này không thể truy cập vùng lưu trữ phiên của
một cửa sổ/ tab khác.
Đánh giá 2: Đánh giá viên phải mở cửa sổ/ tab và điều hướng đến các trang web khác
nhau. Đánh giá viên phải xác minh một kịch bản đang chạy trong một miền/giao
thức/cổng trong một cửa sổ trình duyệt/ tab này không thể truy cập thông tin liên quan
đến một miền/giao thức/cổng khác trong một cửa sổ/ tab khác.
9.1.2.2. FDP_COO_EXT.1 Ngăn chặn Cookie
FDP_COO_EXT.1.1
Trình duyệt web phải cung cấp khả năng ngăn chặn trang web lưu trữ cookie bên thứ 3
Hoạt động đảm bảo
TSS
18
TCVN XXXX:YYYYĐánh giá viên phải xem xét TSS để đảm bảo có mô tả cách thức ngăn chặn các cookie bên thứ
ba và khi nào chặn (ví dụ, tự động, khi bật tính năng chặn)
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để xác minh có cung cấp mô tả tuỳ chọn cấu
hình cho việc chặn các cookie bên thứ ba.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau, có thể yêu cầu nhà phát triển cung cấp truy
cập tới nền tảng đánh giá để đánh giá viên có công cụ không có trong các sản phẩm thực tế:
Đánh giá 1: Đánh giá viên phải xoá tất cả cookie, sau đó cấu hình TOE cho phép lưu trữ
cookie bên thứ ba. Sau đó đánh giá viên phải truy cập một trang web lưu trữ cookie bên
thứ ba, tiếp theo truy cập tới vị trí lưu trữ cookie và kiểm tra xem có cookie không.
Đánh giá 2: Đánh giá viên phải xoá tất cả cookie, sau đó cấu hình TOE để cấm lưu trữ
cookie bên thứ 3. Đánh giá viên phải truy cập trang web, cố gắng thử lưu trữ cookie bên
thứ 3 và kiểm tra có đúng là trình duyệt không lưu trữ cookie hay không.
9.1.2.3. FDP_SBX_EXT.1 Cô lập các tiến trình hiển thị
FDP_SBX_EXT.1.1
Trình duyệt phải bảm đảm việc hiển thị lại trang web được thực hiện trong một tiến trình mà tiến
trình đó bị giới hạn theo các cách sau:
- Tiến trình hiển thị lại chỉ có thể truy cập trực tiếp tới vùng hệ thống tập tin dành cho trình duyệt;
- Tiến trình hiển thị lại chỉ có thể trực tiếp gọi tới cơ chế truyền thông liên tiến trình với các tiến
trình mà tiến trình của trình duyệt sở hữu;
- Tiến trình hiển thị lại này có ít đặc quyền hơn so với các tiến trình TOE khác [lựa chọn: [chỉ
định: các tiến trình hiển thị được thực hiện theo phương thức theo quy tắc đặc quyền tối thiểu],
không có quy tắc nào khác ] ;
Chú ý áp dụng: Các trình duyệt web thực hiện nhiều phương thức để đảm bảo tiến trình hiển thị
mã HTML và thông dịch mã JavaScript hoạt động trong một môi trường hạn chế để giảm thiểu
rủi ro tiến trình hiển thị nội dung web có thể bị lỗi do đang xử lý HTML hoặc JavaScript. Thành
phần này yêu cầu TSF giảm đặc quyền của tiến trình hiển thị bằng việc đảm bảo tiến trình không
thể truy cập trực tiếp đến hệ thống tập tin của host, và không thể sử dụng cơ chế IPC của host
để truyền thông với tiến trình không thuộc TOE trên host. Thông thường, nếu tiến trình hiển thị
cần truy cập tới tập tin hoặc truyền thông với tiến trình non-TOE, nó phải yêu cầu truy cập thông
qua TSF (được cho phép bởi yêu cầu cụ thể)
19
TCVN XXXX:YYYYNgoài hai biện pháp đã yêu cầu, các biện pháp khác có thể được thực hiện tuỳ thuộc vào TOE
và nền tảng trình duyệt chạy. Việc này có thể liên quan đến các hành động như thay đổi Owner
của tiến trình hiển thị thành tài khoản đặc quyền thấp nhất hoặc huỷ/giảm quyền của tiến trình do
nền tảng thiết lập. Tác giả ST điền đầy các phương pháp bổ sung thực hiện bởi TOE.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo TSS mô tả việc TOE hiển thị nội dung HTML và
thông dịch JavaScript thực hiện như thế nào trong giới hạn của các tiến trình (nền tảng hệ điều
hành) liên quan (với “tiến trình” là một thực thể hoạt động để thực thi mã lệnh). Đối với các tiến
trình hiển thị nội dung HTML và thông dịch JavaScript, đánh giá viên phải xem xét TSS để kiểm
tra việc TSS mô tả cách thức tiến trình ngăn chặn truy cập hệ thống tập tin trên nền tảng. Đánh
giá viên phải xem xét TSS để đảm bảo nó mô tả cơ chế IPC nền tảng cung cấp, và chi tiết từng
cơ chế làm thế nào để tiến trình hiển thị không thể sử dụng cơ chế để truyền thông với tiến trình
không thuộc TOE. Đánh giá viên phải xác nhận TSS mô tả cách thức để kích hoạt việc truy nhập
vào IPC và hệ thống tập tin (nếu tính năng này được thực hiện); ví dụ, thông qua tiến trình TOE
có nhiều quyền hơn thì không thể thực hiện việc hiển thị trang web. Đánh giá viên phải đảm bảo
các mô tả này có trong cho tất cả nền tảng nêu ra trong ST.
Với mỗi cơ chế bổ sung liệt kê trong phần thứ ba của phần này, đánh giá viên phải xem xét TSS
để đảm bảo: 1) Có mô tả các cơ chế ; 2) Mô tả đầy đủ và chi tiết các cơ chế để xác định nguyên
tắc đặc quyền tối thiểu cho tiến hình hiển thị và 3) TSS cung cấp thông tin hỗ trợ phù hợp (hoặc
cung cấp chỉ dẫn cho các thông tin) mà bao gồm thông tin ngữ cảnh để hiểu yêu cầu của cơ chế
đặc quyền tối thiểu.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để xác minh tài liệu có mô tả hạn chế trên các
tiến trình hiển thị. Ngoài ra, nếu các cơ chế đó có thể cấu hình được (ví dụ, nếu người dùng có
thể chọn cơ chế bằng cách “Tun on”), đánh giá viên phải xem xét hướng dẫn vận hành để đảm
bảo cung cấp phương thức bật hoặc tắt cơ chế, và mô tả ảnh hưởng của các hành động đó.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau trên mỗi nền tảng đã đặt ra trong ST:
Đánh giá 1: Đánh giá viên phải thực thi một mẫu mã động trong một trang HTML chứa chỉ
lệnh để thay đổi hoặc xoá tập tin từ hệ thống tập tin và xác minh tập tin không thể thay
đổi hoặc xoá.
9.1.2.4. FDP_SOP_EXT.1 Chính sách cùng nguồn
FDP_SOP_EXT.1.1
20
TCVN XXXX:YYYYTrình duyệt chỉ được cho phép các tập lệnh có trong một trang web được truy cập tới dữ liệu
trong trang web thứ hai nếu cả hai trang web có cùng một nguồn.
FDP_SOP_EXT.1.2
Trình duyệt phải thực thi chính sách cùng nguồn gốc cho tất cả các tên miền.
Chú ý áp dụng: Khái niệm Chính sách Cùng Nguồn được mô tả trong tài liệu RFC 6454, "Khái
niệm nguồn gốc Web".
Nguồn gốc được định nghĩa là sự kết hợp giữa tên miền, giao thức và cổng. Hai URI chia sẻ
cùng một tên miền, giao thức và cổng được xem là có cùng nguồn gốc.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo TSS mô tả việc thực hiện chính sách cùng nguồn
và giải thích việc tương thích với RFC 6454 như thế nào. Nếu trình duyệt cho phép việc nới lỏng
chính sách cùng nguồn cho tên miền con trong các tabs hoặc cửa sổ khác thì TSS phải mô tả
ngoại lệ đó thực hiện như thế nào.
Hướng dẫn
N/A
Đánh giá
Đánh giá viên sẽ nhận hoặc tạo các kịch bản có thể truy xuất nội dung từ các vị trí đã chỉ định và
phải cài đặt một máy chủ web với hai hoặc nhiều trang web đại diện cho các tên miền khác
nhau. Đánh giá viên phải kết hợp kịch bản với các trang web, gán mỗi trang với một giao thức
và/hoặc cổng và thực hiện các phép đánh giá sau:
Đánh giá 1: Đánh giá viên mở hai hoặc nhiều cửa sổ/tab trình duyệt và điều hướng tới
các trang khác nhau trên mỗi cửa sổ; chạy các script và đánh giá script đang thực hiện
trên cửa sổ/tab này không thể truy cập tới nội dung đã truy xuất trong cửa sổ/tab khác.
Đánh giá 2: Đánh giá viên phải xác minh script có thể lấy nội dung từ một cửa sổ/tab của
tên miền con khác.
9.1.2.5. FDP_STR_EXT.1 Truyền dữ liệu Cookie an toàn
FDP_STR_EXT.1.1
Trình duyệt phải đảm bảo cookies chứa thuộc tính “secure” trong tiêu đề set-cookie được truyền
qua HTTPS
Chú ý áp dụng: Chức năng tiêu đề set-cookie được mô tả trong tài liệu RFC 6265 “HTTP State
21
TCVN XXXX:YYYY
Management Mechanism”
Hoạt động đảm bảo:
TSS
Đánh giá viên phải xem xét TSS để xác minh nó có mô tả hỗ trợ của trình duyệt với thuộc tính
“secure” trong tiêu đề set-cookie phù hợp với RFC 6265 bao gồm cả yêu cầu gửi cookie chứa
thuộc tính này qua HTTPS.
Hướng dẫn
N/A
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá và có thể phải yêu cầu nhà phát triển cung cấp
truy cập vào nền tảng đánh giá trong đó cung cấp cho đánh giá viên các công cụ thường không
có trên các sản phẩm trên thị trường.
Đánh giá 1: Đánh giá viên phải kết nối trình duyệt tới trang web bật cookie thực hiện
HTTPS và trang web thể hiện trên trình duyệt với trường cookie là “secure”. Đánh giá
viên phải xem xét cache cookie của TOE và xác minh nó chứa cookie an toàn.
Đánh giá 2: Đánh giá viên phải truy cập lại trang web bật cookie qua kênh truyền không
an toàn và bảm đảm cookie an toàn không truyền đi.
9.1.2.6. FDP_TRK_EXT.1. Thu thập thông tin theo dõi người dùng
FDP_TRK_EXT.1.1
Trình duyệt phải cung cấp chức năng thông báo tới người dùng khi trang web yêu cầu thông tin
[Lựa chọn: vị trí địa lý, lịch sử trình duyệt, tuỳ chọn trình duyệt, thống kê trình duyệt] khi một
trang web yêu cầu.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo nó mô tả hỗ trợ của trình duyệt trong việc theo dõi thông tin và chỉ rõ thông tin theo dõi mà trình duyệt cho phép trang web thu thập về người dùng trình duyệt.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để đảm bảo nó mô tả bất kỳ thông báo nào mà người dùng sẽ nhận được khi trang web yêu cầu thông tin theo dõi và các tuỳ chọn người dùng có thể sử dụng khi nhận được thông báo.
22
TCVN XXXX:YYYY
Đánh giá
Đánh giá viên phải thực hiện những đánh giá sau với mỗi loại thông tin theo dõi liệt kê trong TSS.
Đánh giá 1: Đánh giá viên phải cấu hình trang web yêu cầu thông tin theo dõi người dùng và sau đó truy cập tới trang web này. Đánh giá viên phải xác minh người dùng được thông báo khi yêu cầu thông tin theo dõi và khi có sự đồng ý của người dùng thì trang web mới truy xuất thông tin theo dõi.
Đánh giá 2: Đánh giá viên phải xác minh người dùng được thông báo về yều thông tin theo dõi người dùng và khi người dùng từ chối thì trình duyệt không được cung cấp thông tin theo dõi.
9.1.3. Quản lý an toàn (FMT)
9.1.3.1. Quản lý hoạt động các chức năng
Trình duyệt phải có khả năng thực hiện các chức năng quản lý sau đây, được điều khiển bởi
quản trị viên hoặc người dùng:
X = Bắt buộc
= Tùy chọn
Chức năng quản lý Quản trị viên Người dùng
Bật/tắt chức năng lưu trữ cookie của bên thứ ba O X
Bật/tắt sử dụng OCSP để nhận trạng thái thu hồi
chứng thư số X.509
O O
Cấu hình bao gồm thông tin người sử dụng user-
agent trong tiêu đề HTTP
O O
Bật/tắt chức năng cho phép trang web thu thập
thông tin theo dõi người dùng thông qua [lựa
chọn: Cookie zombie, theo dõi dựa trên addon
(ví dụ: cookie Flash), lịch sử duyệt web, [gán:
các cơ chế theo dõi khác]]
O O
Bật/tắt chức năng xóa dữ liệu trình duyệt đã lưu
(cache, thông tin web form)
O X
Bật/tắt chức năng lưu trữ thông tin nhạy cảm (ví
dụ: tự động điền) trong lưu trữ liên tục
O O
23
TCVN XXXX:YYYY
Cấu hình kích thước bộ nhớ đệm cookie O O
Cấu hình kích thước bộ nhớ cache O O
Bật/tắt tương tác với bộ xử lý đồ họa (GPUs) O O
Cấu hình chức năng truy cập một trang web có
chứng thư số X.509 không hợp lệ hoặc chưa xác
nhận
O O
Bật/tắt thiết lập một kênh truyền đáng tin cậy nếu
trình duyệt không thể thiết lập kết nối để xác định
tính hợp lệ của chứng thư số
O O
Cấu hình sử dụng dịch vụ một dịch vụ ứng dụng
uy tín để phát hiện các ứng dụng độc hại trước
khi tải xuống
O O
Cấu hình chức năng sử dụng một dịch vụ URL
uy tín để phát hiện những trang có chứa mã độc
hoặc nội dung lừa đảo
O O
Bật/tắt chức năng cài đặt tự động cập nhật ứng
dụng và bản vá
O O
Bật/tắt chức năng đăng ký xử lý giao thức của
trang web
O O
Bật/tắt hiển thị thông báo khi gặp phải mã động
chưa đăng ký, không đáng tin cậy hoặc chưa xác
minh
O O
Bật/tắt chức năng lựa chọn hành động mặc định
khi tải về một tập tin của người dùng (ví dụ: luôn
mở ngay, hoặc lưu lại một tập tin đã tải về)
O O
Bật/tắt khởi chạy một tập tin đã tải về bên ngoài
trình duyệt
O O
Bật/tắt JavaScript O O
Bật/tắt [lựa chọn: ActiveX, Flash, Java, [gán:
các loại mã động khác được hỗ trợ bởi trình
duyệt]]
O O
Bật/ tắt chức năng hỗ trợ Add-on O O
24
TCVN XXXX:YYYY
Bật/ tắt từng Add-on riêng lẻ O O
Bật/tắt chế độ HSTS O O
Chú ý áp dụng: Đối với những chức năng quản lý này, khái niệm "Quản trị viên" là quản trị viên
của thiết bị không di động hoặc chủ sở hữu thiết bị di động. Mục đích của yêu cầu này là cho
phép người dùng và quản trị viên nền tảng cấu hình trình duyệt với các chính sách cấu hình.
Nếu quản trị viên không đặt ra chính sách cho một chức năng cụ thể, người dùng vẫn có thể
thực hiện chức năng đó. Thực thi chính sách do chính trình duyệt, hoặc trình duyệt và nền tảng
của nó phối hợp với nhau.
Vô hiệu hóa OCSP chỉ nên được cho phép nếu CRL được chọn trong FIA_X509_EXT.1.1 của
tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – An toàn thông tin cho phần mềm ứng
dụng
Hoạt động đảm bảo
TSS
Đánh giá viên phải xác minh TSS mô tả các chức năng quản lý mà chỉ có thể được cấu hình bởi
quản trị viên của nền tảng trình duyệt và người dùng không thể vượt qua khi thiết lập theo chính
sách.
Hướng dẫn
Đánh giá viên phải kiểm tra hướng dẫn vận hành để xác minh rằng nó bao gồm hướng dẫn cho
một quản trị viên nền tảng cấu hình các chức năng liệt kê trong FMT_MOF.1.1.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau:
Đánh giá 1: Đánh giá viên phải xác minh các chức năng thực hiện như dự định bằng
cách bật, vô hiệu hoá, và cấu hình các chức năng.
Đánh giá 2: Đánh giá viên phải tạo ra các chính sách bao gồm tất cả các chức năng
được quản lý bởi quản trị viên nền tảng và không thể bị ghi đè bởi người dùng như đã
định nghĩa trong FMT_MOF.1.1. Đánh giá viên phải áp dụng các chính sách này cho trình
duyệt, thử ghi đè lên từng cài đặt như là người dùng và xác minh rằng trình duyệt không
cho phép thực hiện.
9.1.4. Bảo vệ của TSF (FPT)
9.1.4.1. FPT_DNL_EXT.1 Tập tin tải xuống
FPT_DNL_EXT.1.1
25
TCVN XXXX:YYYYTrình duyệt phải ngăn không cho nội dung đã tải xuống tự động khởi chạy.
FPT_DNL_EXT.1.2
Trình duyệt phải thể hiển với người dùng tùy chọn để lưu hoặc hủy các tập tin đã tải xuống.
Chú ý áp dụng: Yêu cầu này đảm bảo rằng nếu người dùng cố tình (thông qua việc nhấp vào
liên kết) hoặc vô tình tải xuống một tệp tin thì trình duyệt sẽ can thiệp bằng cách mở hộp thoại
thông báo cho người dùng với các tùy chọn lưu tập tin vào hệ thống tập tin hoặc không tải tập
tin.
Trong ngữ cảnh này, tập tin có thể thực thi là tệp có chứa mã cho một chương trình phần mềm
được gọi ra độc lập và bên ngoài phạm vi của trình duyệt. Nó không bao gồm mã động, script
hoặc add-on.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo nó mô tả hoạt động của trình duyệt khi người dùng
bắt đầu tải tập tin xuống.
Đánh giá viên phải kiểm tra hướng dẫn vận hành để đảm bảo nó mô tả hộp thoại xuất hiện khi
bắt đầu tải tập tin và ý nghĩa của các tùy chọn thể hiện trong hộp thoại.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau đây:
Đánh giá 1: Đánh giá viên phải truy cập đến một trang web chứa các tập tin để tải xuống
bao gồm các tệp thực thi và thử tải xuống và mở một số tệp này. Đánh giá viên phải xác
minh trình duyệt luôn đưa ra một hộp thoại với tùy chọn để tải tập tin vào hệ thống tập tin
hoặc để loại bỏ các tập tin.
9.1.4.2. FPT_MCD_EXT.1 Mã động
FPT_MCD_EXT.1.1
Trình duyệt phải hỗ trợ khả năng thực thi các mã động [lựa chọn: ActiveX, Flash,
Java, ActionScript, [chỉ định: các loại mã động khác được hỗ trợ bởi trình duyệt], không có tuỳ
chọn khác] đã ký.
FPT_MCD_EXT.1.2
Trình duyệt sẽ cung cấp cho người dùng tùy chọn để loại bỏ các mã động [ lựa chọn: ActiveX,
Flash, Java, ActionScript, [chỉ định: các loại mã động khác được hỗ trợ bởi trình duyệt], không
có trường hợp khác] chưa ký, không tin cậy hoặc chưa xác minh mà không thực thi nó.
26
TCVN XXXX:YYYYChú ý áp dụng dụng: Tác giả ST phải chỉ ra cụ thể các loại mã động mà trình duyệt hỗ trợ tùy
chọn này.
Một thực thể ký đã xác thực có thể trực tiếp ký vào mã của họ hoặc mã có thể được gửi qua kết
nối HTTPS đã được xác thực với một thực thể đã được xác thực.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo nó liệt kê các loại mã động đã ký mà trình duyệt hỗ
trợ. TSS phải mô tả cách trình duyệt xử lý mã động chưa ký, mã động từ nguồn không đáng tin
cậy và mã động từ nguồn chưa xác minh.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để xác minh nó cung cấp hướng dẫn cấu hình
cho từng loại mã động được hỗ trợ. Hướng dẫn vận hành cũng phải mô tả cảnh báo mà trình
duyệt hiển thị cho người dùng khi gặp phải mã động chưa ký, không đáng tin cậy hoặc chưa xác
minh và tuỳ chọn hành động người dùng có thể thực hiện.
Đánh giá
Đánh giá viên phải thực hiện phép đánh giá sau cho mỗi loại mã động đã chỉ định trong TSS:
Đánh giá 1: Đánh giá viên phải dựng các trang web chứa mã động chưa ký, đã xác thực
đúng và không đúng và đảm bảo trình duyệt phải cảnh báo người dùng khi nó gặp mã
động mà không thể xác thực và cung cấp cho người dùng tùy chọn loại bỏ mã động mà
không thực hiện nó, nhưng thực thi mã động đã ký và xác thực đúng.
9.1.4.3. FPT_AON_EXT.1 Chỉ hỗ trợ Add-on tin cậy
FPT_AON_EXT.1.1
Trình duyệt phải có khả năng tải [lựa chọn: các Add-on đáng tin cậy, không có Add-on khác]
Chú ý áp dụng: FPT_AON_EXT.2 phụ thuộc vào các lựa chọn được ở đây. Nếu trình duyệt
không bao gồm hỗ trợ chỉ cài đặt tiện ích đáng tin cậy thì yêu cầu này có thể đáp ứng bằng cách
chứng minh khả năng vô hiệu hóa tất cả các hỗ trợ cho Add-on như đã nêu trong
FMT_MOF_EXT.1. Việc xác minh bằng mật mã (tức là sự tin cậy) của các Add-on đã kiểm tra
trong FPT_AON_EXT.2.1.
Hoạt động đảm bảo
TSS
27
TCVN XXXX:YYYYĐánh giá viên phải xác minh TSS mô tả xem trình duyệt có khả năng tải các Add-on tin cậy hay
không.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để xác minh rằng hướng dẫn bao gồm các chỉ
dẫn tải các nguồn Add-on đáng tin cậy.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau đây:
Đánh giá 1: Đánh giá viên phải tạo ra hoặc có được một Add-on không tin cậy và thử tải
nó. Đánh giá viên phải xác minh tiện ích không đáng tin cậy bị từ chối và không thể tải
được.
Đánh giá 2: Đánh giá viên phải tạo ra hoặc có được một Add-on tin cậy và thử tải nó.
Đánh giá viên phải xác minh các tiện ích đáng tin cậy tải được.
28
TCVN XXXX:YYYY
Phụ lục A
(Quy định)
Các yêu cầu tuỳ chọn
Các yêu cầu cơ bản (do trình duyệt web thực hiện phải nằm trong phần thân của PP này. Ngoài
ra, có ba loại yêu cầu khác nhau được quy định trong Phụ lục A, Phụ lục B và Phụ lục C. Loại
đầu tiên (trong Phụ lục A) là các yêu cầu có thể có trong ST, nhưng không bắt buộc với trình
duyệt phải đáp ứng với EP này. Loại thứ hai (trong Phụ lục B) là các yêu cầu dựa trên các lựa
chọn trong phần thân của EP: nếu các lựa chọn cụ thể được đưa ra, thì phải bao gồm các yêu
cầu bổ sung trong phụ lục này. Loại thứ ba (trong Phụ lục C) là các thành phần không bắt buộc
phải đáp ứng với EP này, nhưng sẽ bao gồm trong các yêu cầu cơ bản trong các phiên bản sắp
tới của EP này, do đó khuyến khích các nhà cung cấp áp dụng. Lưu ý rằng tác giả của ST có
trách nhiệm để đảm bảo rằng các yêu cầu có thể liên quan đến các yêu cầu trong Phụ lục A, Phụ
lục B và Phụ lục C nhưng không được liệt kê (ví dụ các yêu cầu loại FMT) cũng được đưa vào
ST.
A.1 FDP_PST_EXT.1 Lưu trữ thông tin liên tục
FDP_PST_EXT.1.1
Trình duyệt phải có khả năng hoạt động mà không lưu dữ liệu liên tục vào tập tin hệ thống với
các ngoại lệ sau: [lựa chọn: thông tin xác thực, thông tin cấu hình được cung cấp bởi quản trị
viên, thông tin thu hồi chứng chỉ, không có ngoại lệ khác]
Chú ý áp dụng: Bất kỳ dữ liệu nào còn tồn tại sau khi đóng trình duyệt, bao gồm các tập tin tạm
thời là dữ liệu liên tục.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để xác minh nó mô tả cách trình duyệt vận hành mà không lưu
trữ dữ liệu người dùng liên tục vào hệ thống tệp tin.
Hướng dẫn
N/A
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau, có thể phải yêu cầu nhà phát triển cung cấp
truy cập vào một nền tảng đánh giá trong đó cung cấp các công cụ thường không tìm thấy trên
các sản phẩm thực tế:
29
TCVN XXXX:YYYY Đánh giá 1: Đánh giá viên phải vận hành trình duyệt trong một khoảng thời gian, đảm
bảo rằng đã có nhiều chức năng của trình duyệt đã hoạt động. Đánh giá viên sau đó sẽ
xem xét trình duyệt và nền tảng để đảm bảo rằng không có tập tin nào được ghi vào hệ
thống tập tin ngoại trừ các ngoại lệ đã chỉ ra trong FDP_PST_EXT.1.1.
30
TCVN XXXX:YYYY
Phụ lục B
(Quy định)
Các yêu cầu dựa trên lựa chọn
Như đã nêu trong phần giới thiệu, các yêu cầu cơ bản (yêu cầu phải được thực hiện bởi trình
duyệt hoặc nền tảng cơ bản của nó) phải nằm trong phần thân của EP này. Có các yêu cầu bổ
sung dựa trên các lựa chọn từ tiêu chuẩn ....... và/hoặc trong phần thân của EP: nếu các lựa
chọn cụ thể được đưa ra, thì các yêu cầu bổ sung phải được đưa vào.
B.1 FDP_AON_EXT.2 Cài đặt và cập nhật tin cậy cho tiện ích
FDP_AON_EXT.2.1
Trình duyệt phải [lựa chọn: cung cấp khả năng, hỗ trợ nền tảng] để cung cấp một phương pháp
để xác minh mã hóa bằng cách sử dụng cơ chế chữ ký số và [lựa chọn: sử dụng hàm băm,
không có tuỳ chọn khác] trước khi cài đặt và cập nhật.
Yêu cầu này phụ thuộc vào lựa chọn trong FPT_AON_EXT.1.1.
FDP_AON_EXT.2.2
Trình duyệt phải [lựa chọn: cung cấp khả năng, hỗ trợ nền tảng] để truy vấn phiên bản hiện tại
của tiện ích.
Yêu cầu này phụ thuộc vào lựa chọn trong FPT_AON_EXT.1.1.
FDP_AON_EXT.2.3
Trình duyệt phải ngăn việc tự động cài dặt các Add-on.
Yêu cầu này phụ thuộc vào lựa chọn trong FPT_AON_EXT.1.1.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để xác minh rằng nó tuyên bố rằng trình duyệt sẽ từ chối Add-
on từ các nguồn không tin cậy.
Hướng dẫn
Đánh giá viên phải kiểm tra hướng dẫn vận hành để xác minh rằng nó bao gồm các hướng dẫn
về cách cấu hình trình duyệt với các nguồn tiện ích đáng tin cậy.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau:
31
TCVN XXXX:YYYY Đánh giá 1: Đánh giá viên phải tạo ra hoặc có được một add-on do một nguồn đáng tin
cậy ký và cố gắng cài đặt add-on đó. Đánh giá viên phải xác nhận chữ ký trên add-on là
hợp lệ và add-on có thể cài đặt được.
Đánh giá 2: Đánh giá viên phải tạo ra hoặc có được một tiện ích đã ký với một chứng thư
số không hợp lệ và cố gắng để cài đặt add-on đó. Đánh giá viên phải xác minh rằng tiện
ích đã ký với chứng thư số không hợp lệ bị từ chối và không thể cài đặt được.
Đánh giá 3: Đánh giá viên phải tạo hoặc có được một add-on do một nguồn đáng tin cậy
đã ký, sửa đổi tiện ích mà không ký lại nó, và thử cài đặt. Đánh giá viên phải xác minh
rằng tiện ích bị từ chối và không thể cài đặt được.
32
TCVN XXXX:YYYY
Phụ lục C
(Quy định)
Yêu cầu mục tiêu
Phụ lục này gồm các yêu cầu xác định chức năng an toàn cũng như các mối đe dọa. Các yêu
cầu hiện không được đưa trong phần thân của EP này vì chúng mô tả chức năng an toàn chưa
có sẵn trong công nghệ thương mại. Tuy nhiên, các yêu cầu này có thể bao gồm trong trình
duyệt sao cho trình duyệt vẫn phù hợp với EP này, và mong muốn rằng yêu cầu này sẽ được
đưa vào càng sớm càng tốt.
C.1 FCS_STS_EXT.1 An toàn vận chuyển nghiêm ngặt
FCS_STS_EXT.1.1
Trình duyệt phải thực hiện HTTP Strict Transport Security theo RFC 6797.
FCS_STS_EXT.1.2
Trình duyệt phải giữ lại dữ liệu liên tục báo hiệu việc kích hoạt HSTS cho khoảng thời gian do
một trang web khai báo trong chỉ dẫn max-age.
FCS_STS_EXT.1.1
Trình duyệt phải lưu trữ thông tin chính sách an toàn nghiêm ngặt "mới nhất-freshest".
Chú ý áp dụng: Mới nhất đề cập đến khoảng thời gian giữa việc tạo trên máy chủ ban đầu và
thời gian hết hạn khi máy chủ ban đầu xác định một phản hồi đã lưu trữ không được bộ nhớ
cache sử dụng tiếp mà không cần xác nhận (RFC 6797 và 7234). Nếu trình duyệt nhận được
tiêu đề HSTS từ trang web thì tất cả các phiên HTTP tiếp theo giữa trình duyệt và tên miền hoặc
tên miền phụ của trang web đó phải đi qua TLS 1.2 (RFC 5246) hoặc cao hơn bằng cách sử
dụng HTTPS (RFC 2818) và áp dụng mật mã mạnh nhất.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo hướng dẫn vận hành chỉ ra trình duyệt hỗ trợ HSTS
như thế nào.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để đảm bảo có hướng dẫn cách sử dụng
HSTS.
Đánh giá
33
TCVN XXXX:YYYYĐánh giá viên phải thực hiện các phép đánh giá sau:
Đánh giá 1: Đánh giá viên phải kết nối với một trang web có HSTS trong khi chạy một bộ
phân tích giao thức mạng để theo dõi lưu lượng truy cập. Đánh giá viên phải kiểm tra lưu
lượng mạng và xác minh đã nhận được tiêu đề Strict Transport Security và có chỉ dẫn
max-age liên quan đến HSTS.
Đánh giá 2: Đánh giá viên phải kết nối lại trang web có HSTS một lần nữa qua HTTP và
phải xác minh rằng phiên đó được chuyển hướng đến HTTPS.
Đánh giá 3: Đánh giá viên phải kết nối lại với trang web có HSTS sau khi giá trị max-age
đã hết hạn và xác minh rằng trang web và trình duyệt đã thiết lập lại mối quan hệ HSTS.
Đánh giá 4: Đánh giá viên phải cập nhật thông tin HSTS của trang web và xác minh khi
trình duyệt kết nối lại với trang web, thông tin đó sẽ được trình duyệt cập nhật.
C.2 FPT_INT_EXT.1 Tương tác với dịch vụ ứng dụng uy tín
FPT_INT_EXT.1.1
Trình duyệt phải sử dụng dịch vụ ứng dụng uy tín để ngăn chặn việc tải xuống các ứng dụng độc
hại.
Chú ý áp dụng: Dịch vụ ứng dụng uy tín là một dịch vụ trực tuyến xác định các ứng dụng độc
hại, sử dụng để phát hiện các ứng dụng độc hại trước khi tải xuống. Sử dụng dịch vụ uy tín có
thể có yêu cầu về cấu hình của dịch vụ tin cậy được sử dụng. Chất lượng của dịch vụ uy tín có
thể nằm ngoài phạm vi đánh giá.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo nó mô tả việc sử dụng dịch vụ ứng dụng uy tín của
trình duyệt trong việc phát hiện các ứng dụng độc hại.
Hướng dẫn
Đánh giá viên phải xem xét hướng dẫn vận hành để đảm bảo có mô tả hỗ trợ của trình duyệt
trong việc sử dụng dịch vụ ứng dụng uy tín, bao gồm các dịch vụ mà trình duyệt hỗ trợ mặc định
(nếu có) và liệu có thể cấu hình các dịch vụ bổ sung hay không. Hướng dẫn vận hành phải bao
gồm các bước cấu hình dịch vụ ứng dụng uy tín.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau đây:
Đánh giá 1: Đánh giá viên phải cấu hình trình duyệt để cho phép sử dụng một hoặc
nhiều dịch ứng dụng uy tín theo hướng dẫn vận hành. Đánh giá viên sẽ bắt đầu kết nối
với một trang web cố gắng tải xuống một ứng dụng trong khi theo dõi lưu lượng mạng
34
TCVN XXXX:YYYYbằng một công phân tích giao thức mạng. Đánh giá viên phải kiểm tra lưu lượng mạng
đang theo dõi và phải kiểm tra xem trình duyệt đã khởi tạo kết nối với một hoặc nhiều
dịch vụ ứng dụng uy tín đã cấu hình trước khi bắt đầu tải xuống.
C.3 FPT_INT_EXT.1 Tương tác với dịch vụ URL uy tín
FPT_INT_EXT.1.1
Trình duyệt phải sử dụng dịch vụ URL uy tín để ngăn chặn các kết nối với các trang web độc hại.
Chú ý áp dụng: Dịch vụ URL uy tín là một dịch vụ trực tuyến xác định các trang web lưu trữ ứng
dụng có nội dung độc hại hoặc lừa đảo, sử dụng để phát hiện các trang web như vậy trước khi
cho phép người dùng truy cập. Mục tiêu của yêu cầu này là đảm bảo rằng trình duyệt ngăn chặn
việc thiết lập kết nối với các nguồn độc hại đã biết trên Internet. Chi tiết chuỗi hành động thực
hiện trước khi có quyết định chặn có thể phụ thuộc vào việc thực hiện của trình duyệt cụ thể. Ví
dụ: một số trình duyệt có thể thực hiện kiểm tra nội dung độc hại bằng cách kiểm tra danh sách
các URL xấu cung cấp bởi dịch vụ URL uy tín trong thời gian thực; một số khác có thể tải xuống
danh sách URL xấu khi khởi động trình duyệt, cập nhật danh sách theo định kỳ từ các dịch vụ
URL uy tín cho đến khi trình duyệt bị đóng. Sau cùng, kết quả có thể là trình duyệt chặn kết nối
đến URL xấu.
Hoạt động đảm bảo
TSS
Đánh giá viên phải xem xét TSS để đảm bảo có mô tả việc trình duyệt sử dụng dịch vụ URL uy
tín trong việc phát hiện các trang web độc hại.
Hướng dẫn
Đánh giá viên phải kiểm tra hướng dẫn vận hành để đảm bảo có việc trình duyệt hỗ trợ sử dụng
các dịch vụ URL uy tín, bao gồm các dịch vụ mà trình duyệt hỗ trợ mặc định (nếu có) và liệu có
thể cấu hình các dịch vụ bổ sung hay không. Hướng dẫn vận hành bao gồm các bước để cấu
hình dịch vụ URL uy tín.
Đánh giá
Đánh giá viên phải thực hiện các phép đánh giá sau đây:
Đánh giá 1: Đánh giá viên phải cấu hình trình duyệt cho phép sử dụng một hoặc nhiều
dịch vụ URL uy tín theo hướng dẫn vận hành. Đánh giá viên phải kết nối tới một trang
web tin cậy đã biết đồng thời theo dõi lưu lượng mạng bằng công cụ phân tích giao thức
mạng. Đánh giá viên phải kiểm tra lưu lượng mạng đã theo dõi và phải xác minh xem
trình duyệt có khởi tạo kết nối đến (các) dịch vụ URL uy tín đã cấu hình hay không.
35
TCVN XXXX:YYYY Đánh giá 2: Đánh giá viên phải cấu hình trình duyệt cho phép sử dụng một hoặc nhiều
dịch vụ URL uy tín theo hướng dẫn vận hành. Đánh giá viên bắt đầu kết nối tới một trang
web độc hại đã biết do một hoặc nhiều dịch vụ URL uy tín xác định đồng thời theo dõi lưu
lượng mạng bằng công cụ phân tích giao thức mạng. Đánh giá viên phải xác minh trình
duyệt có xuất hiện cảnh báo trang web là độc hại và trình duyệt không được phép kết nối.
Đánh giá viên phải xem xét lưu lượng mạng đã theo dõi và phải xác minh xem trình duyệt
có thiết lập kết nối tới dịch vụ URL uy tín đã cấu hình và đã lấy danh sách cập nhật các
URL nguy hiểm với trang web đã đánh giá nằm trong danh sách không.
36
TCVN XXXX:YYYY
Thư mục tài liệu tham khảo
[1] NIAP Protection Profile for Application Software (Hồ sơ bảo vệ cho các Phần mềm ứng
dụng), phiên bản 1.2, ngày 22/4/2016.
[2] NIAP Extended Package for Web Browsers v2.0 (Gói mở rộng cho trình duyệt web)
phiên bản 2.0 ngày 16/6/2015;
[3] NIAP Protection Profile for Web Browsers Version 1.0 (Hồ sơ bảo vệ cho trình duyệt
web) phiên bản 1.0 ngày 31/3/2014
[4] CCMB-2012-09-001 Common Criteria for Information Technology Security Evaluation -
Part 1: Introduction and General Model (Tiêu chí chung dùng đánh giá an toàn về công
nghệ thông tin – Phần 1: Giới thiệu và các Mô hình chung), phiên bản 3.1 – sửa đổi lần
4, tháng 9/2012.
[5] CCMB-2012-09-002 Common Criteria for Information Technology Security Evaluation -
Part 2: Security Functional Components (Tiêu chí chung dùng đánh giá an toàn về công
nghệ thông tin – Phần 2: Các thành phần chức năng an toàn), phiên bản 3.1 – sửa đổi
lần 4, tháng 9/2012.
[6] CCMB-2012-09-003 Common Criteria for Information Technology Security Evaluation -
Part 3: Security Assuarance Components (Tiêu chí chung dùng đánh giá an toàn về
công nghệ thông tin – Phần 3: Các thành phần đảm bảo an toàn), phiên bản 3.1 – sửa
đổi lần 4, tháng 9/2012.
[7] CCMB-2012-09-004 Common Evaluation Methodology for Information Technology
Security - Evaluation Methodology (Phương pháp Đánh giá Chung dùng cho an toàn
công nghệ thông tin – Phương pháp đánh giá), phiên bản 3.1 – sửa đổi lần 4, tháng
9/2012.
37