Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft test Chrome-extensie die verdachte sites in Edge-sandbox opent

Microsoft heeft zijn Windows Defender Application Guard als browserextensie voor Google Chrome en Mozilla Firefox vrijgegeven als test. De extensie zorgt ervoor dat verdachte sites in een afgeschermde Edge-container openen.

De extensie is bedoeld voor enterpriseomgevingen en controleert url's die gebruikers van Chrome en Firefox willen openen aan de hand van witte lijsten die door de beheerders kunnen worden opgesteld. Als een site niet op de lijst voorkomt, wordt Edge geopend om de pagina in een beschermde container weer te geven.

Binnen die Edge-omgeving kan de gebruiker vrijelijk navigeren en sites openen. Zodra de gebruiker een pagina wil openen die op de lijst van vertrouwde url's staat, opent Chrome of Firefox deze weer, zo meldt Microsoft bij de aankondiging.

Windows Defender Application Guard is onderdeel van buildversie 1803 van Windows 10 Enterprise en Windows 10 Professional. Het maakt internetsessies compleet geïsoleerd van de rest van het systeem en het netwerk in een Hyper-V-container mogelijk. In eerste instantie kunnen Windows Insiders-testgebruikers de extensie uitproberen. Later volgt de brede beschikbaarheid.

Door Olaf van Miltenburg

Nieuwscoördinator

18-03-2019 • 10:38

47 Linkedin Google+

Reacties (47)

Wijzig sortering
ik vind dit een beetje vreemde extentie,
dit lijkt ervoor om edge te pushen zou ik zeggen.
anders kan er prima gebruik gemaakt worden van de browsers eigen sandbox
Ik zie de meerwaarde wel: ik gebruik nu een browser met plugins voor het reguliere surfwerk en als ik bankier dan open in een andere browser waar geen plugins in geinstalleerd zijn. Het idee is dat de sandbox van de browser niet zoveel waard is op het moment dat je plugins in je browser actief hebt: die zitten dan wel in de sandbox maar sturen doodleuk informatie naar de maker waar ik geen controle over heb.
Maar dat zou ook kunnen worden opgelost in één browser. Yandex.Browser doet dat bijv.: zodra je een tabblad opent van een gevoelige site, bijv. die van je bank, dan worden in dat tabblad alle extensies e.d. uitgeschakeld en een speciale sandbox voor dat tabblad geopend, zodat het tabblad dus volledig afgeschermd is.
Hoe weet Yandex dat of moet je dat zelf instellen?
Dat hoef je niet zelf in te stellen. De techniek erachter weet ik niet precies.
Better safe than sorry. Het aantal regels code in Chromium/Firefox is groter dan die van de Linux kernel + drivers en de churn (aantal regels wat wijzigd per versie) is vrij groot. De kans dat dit geen zwitserse kaas is is nihil.
Het gaat iets verder dan een standaard sandbox die andere browsers hebben. Als ik het goed lees wordt er een container gemaakt voorvoor Hyper-V wordt gebruikt. Ook wordt het netwerk verkeer via een hyper-v vnet gestuurd.
Ik dacht eerst ook dat het een flauwe truc was om edge te pushen maar het lijkt meer iets om windows te beschermen. Ook wordt je automatisch terug gestuurd naar de originele browser als je de gevaarlijke site verlaat.
Dan kan je (zouden ze) ook Chrome of Firefox in de Hyper-V container draaien, heb je hetzelfde effect.
Bedrijven waar cybersecurity een belangrijke rol speelt in de dagelijkse gang van zaken hechten hier zeker meerwaarde aan. Denk bijvoorbeeld aan Defensie of banken.
Daar draait internet waarschijnlijk niet in het standaard domein. Dit zal via een afgesloten Citrix sessie oid gaan. Cyber security dient overigens in elk bedrijf/ministerie hoog op de prioriteiten lijst te staan.

[Reactie gewijzigd door dezwarteziel op 18 maart 2019 12:47]

Via firefox en een citrix sessie indd.
Edge wordt gebaseerd op Chromium. Dit betekent dat Google nog meer macht krijgt over webstandaarden. Het ziet er somber uit :/
Google krijgt daardoor minder macht. De hoofdzakelijke reden dat Microsoft ook Chromium gaat gebruiken is omdat Google (net als destijds met IE6) regelmatig een loopje neemt met de standaard en dit kan doen door zijn marktaandeel. Microsoft moest daardoor soms door hoepels springen om sites als Youtube bruikbaar te houden. Door Chromium te gebruiken krijgt MS ook inspraak en kan het Google ‘dwars’ liggen.
Dit is exact de reden dat Google zoveel macht heeft. zo veel zelfs dat ze MS kunnen forceren hun browerengine te gebruiken.
We zullen het nooit precies weten, maar wat ik wel weet is dat er voldoende HTML5 features zijn die nog niet in Edge zaten. Het bijbenen van de specificatie is vrij veel werk. En er valt geen droog brood te verdienen met alleen een browser. Voor MS is het overstappen gewoon een logische bedrijfskeuze: kosten en risico omlaag. Geen CEO die dat kan weerstaan.
Het specifieke geval youtube: hier heeft chrome/youtube gebruik gemaakt van shadow dom v0. Omdat deze versie van shadow dom niet door Firefox en Edge geimplementeerd zijn werd het traag. v1 zit wel in alle browsers, dus eigenlijk is het youtube (jaja, ook google) wat het verkeerd deed: een niet breed gedragen standaard gebruiken. Probleem zat dus niet zozeer in chrome (jaja, ook google dus wellicht wel onderling afgestemd).
Microsoft heeft toch toegezegd te gaan bijdragen aan Chromium. En Chromium is Open Source.

Ik denk dat er juist minder reden is om straks te switchen naar de Google Chrome browser. Het verschil gaat hem juist zitten in wie de veiligste en meest privacy beschermende browser heeft. Heeft Microsoft toch een 'Edge' voor op Google :)
En wie de beste integratie levert met mobiel. Helaas heeft Google qua mobile browsing nog steeds de "chromen standaard". Hoewel Firefox tegenwoordig ook goed volgt.
Edge mobiel werkt ook lekker samen met Edge op Windows.
Maarja, Edge werkt in mijn ervaring dan weer erg onhandig :P
Lol, dat is rijk, komende van Microsoft, met IE.
Dat is het niet; Edge gaat de overstap maken naar de Chromium engine.

Daarnaast: in hoeverre vertrouw jij je browser? De browser heeft vrijwel altijd toegang tot jouw persoonlijke bestanden; plus vloeit er steeds meer data via de webbrowser zelf.

Ofwel: het volledige OS pwnen is niet eens meer nodig, als de browser gepwnt kan worden is er toegang tot de persoonlijke data.

Het containerizen van verdachte sites is een goede stap. Maar ik vind dat we nog een lange weg te gaan hebben. Unveil() van OpenBSD is ook een mooi initiatief, daarmee kan de browser alleen bij data waar jij het toegang toe geeft. Dat wordt vervolgens enforced door het OS, in plaats van de applicatie zelf.

Iets bereikbaarder en toegankelijker is wellicht Sandboxie.
Chrome wat samen gaat werken met Edge. Echt een mooi verhaal dit. Hoe gaat men dit qua patches over en weer afstemmen? Los van welke browser veiliger is (hangt meer af van het aantal gebruikers dan de techniek).
Edge gaat alleen de HTML engine gebruiken die ook in Google Chrome wordt gebruikt, en deze engine is chromium --> https://www.chromium.org . Het is niet zo dat ze Google Chrome met een Edge UI schilletje gaan leveren.

Heeft ook niet veel te maken met patches afstemmen tussen Microsoft en Google. Alleen als er een veiligheidslek in chromium zit is het nodig om deze te patchen in beide browsers. Als het gaat om andere veiligheidsmechanisme, zoals in het artikel uitgelegd, en daar is een veiligheidslek in, dan moet alleen Microsoft dat patchen in Edge.

[Reactie gewijzigd door xavalon op 18 maart 2019 11:25]

Niet alleen de HTML engine. Ook de Render engine Blink.
Het kan ook zijn dat dit een stap is in het traject (Anaheim) van de nieuwe ontwikkelingen binnen Edge. Edge wordt namelijk geheel van de grond af opnieuw opgebouwd met dezelfde motor als Chrome (Chromium).
Heeft iemand een idee hoe dit eruit gaat zien/hoe het gaat werken? In hoeverre ga je merken dat ie schakelt tussen Chrome en de Edge-sandbox? Ik vraag me dus af of en hoeveel gebruiksgemak je inlevert.

edit: typo

[Reactie gewijzigd door user029 op 18 maart 2019 11:28]

Quote: " aan de hand van witte lijsten die door de beheerders kunnen worden opgesteld"
Aangezien het gros van de websites op het internet niet op deze whitelisten zal voorkomen, ben je dus bijna constant aan het browsen in de Edge sandbox omgeving.
Dit zou je kunnen zien als een verkapte manier om Edge te promoten.
Dit is bedoeld voor zakelijk gebruik. De meeste websites zijn niet relevant in die context. En dat jij privé Facebookt in een VM lijkt me ook wel zo gepast.
Facebook zou ik begrijpen (als ik dat had) maar als ik op zoek ga naar b.v. een machinespindel voor een draaibank, dan weet ik zeker dat >90% van de sites waar ik op uitkom niet in de whitelist van onze systeembeheerder staan.
Edge is dan ook beter dan chrome in elk opzicht.

Chrome is super onveilig met al die extensies waarvan iedere extensie een probleem kan opleveren,

Erg jammer dat ms overstapt naar chromium als basis voor edge puur vanwege populariteit.
Dat is eigenlijk de eerste keer dat ik dat iemand hoor zeggen dat edge beter is dan chrome.
In welk opzicht is edge precies beter dan?
Sneller, stabieler en compacter.

Chrome was dat ooit ook, maar is zo bloated geworden mede dankzij extensies.

Dat veel mensen het gebruiken is net zoiets als zoeken via google.
Was ooit ook de beste optie maar is zo vreselijk geworden qua zoekresultaten gebaseerd op zwaar beïnvloede zoekalgoritmes, maar men is het als gewoon/vanzelfsprekend gaan zien.

Zo ook met windows, haast niet weg te denken van welke computer dan ook.
Sure linux, maar dat is een eindeloze discussie, in het kort word dat niet als een vanzelfsprekend alternatief gezien.

Maar goed ik hou het maar op smaken verschillen.
Denk inderdaad dat smaken verschillen. Ik draai al jaren op Ubuntu en vind het zelfs raar om op een Windows of apple machine te zitten.
Maar ik ben tot op heden best tevreden met Chrome.. En Google..
En waarom zou je zoiets gebruiken over gewoon een applicatie sandbox zoals bijvoorbeeld Sandboxie?
lijkt me gewoon een slechte manier om een browser te pushen die niet erg populair is.
Omdat een VM fundamenteel veiliger is. De beveiliging daarvan wordt geregeld op CPU nivo.
Fundamenteel wel, maar met de huidige spectre/meltdown issues, praktisch niet :)
"...Binnen die Edge-omgeving kan de gebruiker vrijelijk navigeren en sites openen. Zodra de gebruiker een pagina wil openen die op de lijst van vertrouwde url's staat, opent Chrome of Firefox deze weer..."

Een nieuwe poging van Microsoft, om weer een vinger in de pap te krijgen in de browser wereld. Dat Chrome en FireFox veel meer gebruikers hebben dan Edge, zal niemand verbazen.

Nu Edge bijna op een catastrofe voor MS uitdraait, proberen ze het via aan andere weg. Eigenlijk geven ze indirect toe, dat zowel Chrome als FireFox betere browser zijn en Edge dreigt te verdwijnen in de marge.
Nu proberen ze ( in hun voordeel ) op een andere wijze een wig te drijven tussen Chrome of FireFox. Het lijkt op een beproefde methode die tegenwoordig in veel reclames gebruikt wordt, namelijk: angst. Creëer eerst een 'angst' en kom dan spontaan met een oplossing, is het devies in de reclame wereld.

Het blijft de vraag of MS een browser kan maken die veiliger is en naadloos samen kan werken met Chrome en/of FireFox. Mocht het werkelijk lijken te gaan lukken, dan zal het me niets verbazen als Chrome en/of FireFox t.z.t. een MS tactiek gaan toepassen en af en toe een 'bit' veranderen, waardoor de koppeling tussen de nieuwe MS browser en de andere 'spontaan' weigert. Om op deze wijze de éénzijdige 'samenwerking' uiteindelijk voor de gebruiker te frustreren. Alles onder het motto: wie is de grootste in de browser markt.

De tijd zal het leren.

[Reactie gewijzigd door PsiTweaker op 18 maart 2019 13:19]

De volgende stap is dat de browser-producent een site die u wil bezoeken vijandig vindt - en wegcensureert. De stap daarop is, dat Facebook/Putin/Trump/(schurk naar voorkeur) hen betaalt om informatie te censureren. Met geeft dat dan de stempel IA - ipv AI - want u wordt de ezel - u gaat dom gehouden worden... 8)7
"Ik gebruik als anti-virus Kaspersky en Firefox met adblock, noscript, privacy badger en https everywhere."

Kortom, iemand die beter weet dan de gemiddelde gebruiker. Dan gaat het toch nergens over ? Niemand verplicht die extensie.
Maar krijg ik de keuze van Microsoft?

Wat zou jij ervan vinden als in de supermarkt aan de kassa alle producten vervangen worden door huismerken met de boodschap dat het goedkoper is.
Zou je daar tevreden me zijn?

[Reactie gewijzigd door mancide op 18 maart 2019 16:24]

Je krijgt de keuze om de extensie te installeren of niet, dus ja. Als een systeembeheerder dat voor jouw bepaald dan is het zijn/haar keuze natuurlijk, maar op het werk kun je daar niet veel aan doen neem ik aan ;)

Dit is trouwens enterprise verhaal ...
En op wat baseer je dat Defender zo slecht is? Defender is de afgelopen 1,5 jaar fors beter geworden en kan nu zeer goed meekomen met de rest: https://www.av-test.org/en/antivirus/home-windows/.
Agreed. Vind beiden zo traag en irritant als stront. Though: https://www.av-comparativ...-test-july-november-2018/

[Reactie gewijzigd door AnonymousWP op 18 maart 2019 11:49]

dat bepaal je nog altijd zelf door de extensie wel of niet te installeren 8)7

In bepaalde omstandigheden is deze extensie nuttig. Zijn dit niet jouw omstandigheden, dan installeer je de extensie gewoonweg niet

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True