德国联邦信息安全办公室(BSI)近期公布一份针对市面多个浏览器做的测试结果,其中Firefox是唯一满足所有安全要求的浏览器。
本报告测试产品包括Mozilla Firefox 68 (ESR)、Google Chrome 76、Microsoft Internet Explorer 11及Microsoft Edge 44,不过Safari、Brave、Opera或Vivaldi倒是未纳入测试。
报告是依据德国联邦政府颁布的现代安全浏览器指南,所列出的能力要求,对市面浏览器进行测试评分。BSI今年夏天发布最新版指南,将一些高端安全功能加入,包括HTTP强制安全传输技术(HTTP Strict Transport Security,HSTS)、子资源完整性(Subresource Integrity,SRI)及内容安全策略(Content Security Policy,CSP)2.0、遥测数据(telemetry)处理及凭证处理机制等。
这份文件一共列出了20多项要求,要满足这些要求才能视为安全的现代浏览器。像是浏览器密码管理员必须加密存储密码、用户要能删除密码管理中的密码、可设置防堵发送遥测数据和使用纪录、能关闭云计算数据同步功能、提供沙箱功能、网页必须彼此隔离、能防护栈区(stack)和堆栈(heap)内存、漏洞公布21天内要完成修补等
报告指出,Firefox是唯一满足所有要求的浏览器。报告也列出其他企业缺失,像是Chrome和微软IE、Edge不支持主密码(master password)机制、不让用户选择关闭遥测数据的搜集、“欠缺组织透明度”。此外IE也被检测到不支持CSP、SRI及SOP(Same Origin Policy)及没有内置更新机制等。
Firefox和Chrome基本上在安全功能上并驾齐驱,但在某些安全功能,像是提供数据外泄通知和DNS over HTTPS支持,Firefox是众浏览器中较早加入的。
今年底发布的Firefox 70版会再增加安全功能。如果网页以HTTP下载,或被侦测到有关注cookie、加密挖矿软件,Firefox在网址列显示不安全的图标。