圖片來源: 

Mozilla

德國聯邦資訊安全辦公室(BSI)近期公佈一份針對市面多個瀏覽器做的測試結果,其中Firefox是唯一滿足所有安全要求的瀏覽器。

本報告測試產品包括Mozilla Firefox 68 (ESR)、Google Chrome 76、Microsoft Internet Explorer 11及Microsoft Edge 44,不過Safari、Brave、Opera或Vivaldi倒是未納入測試。

報告是依據德國聯邦政府頒佈的現代安全瀏覽器指南,所列出的能力要求,對市面瀏覽器進行測試評分。BSI今年夏天釋出最新版指南,將一些進階安全功能加入,包括HTTP強制安全傳輸技術(HTTP Strict Transport Security,HSTS)、子資源完整性(Subresource Integrity,SRI)及內容安全政策(Content Security Policy,CSP)2.0、遙測資料(telemetry)處理及憑證處理機制等。

這份文件一共列出了20多項要求,要滿足這些要求才能視為安全的現代瀏覽器。像是瀏覽器密碼管理員必須加密儲存密碼、使用者要能刪除密碼管理中的密碼、可設定防堵傳送遙測資料和使用紀錄、能關閉雲端資料同步功能、提供沙箱功能、網頁必須彼此隔離、能防護棧區(stack)和堆疊(heap)記憶體、漏洞公佈21天內要完成修補等

報告指出,Firefox是唯一滿足所有要求的瀏覽器。報告也列出其他業者缺失,像是Chrome和微軟IE、Edge不支援主密碼(master password)機制、不讓用戶選擇關閉遙測資料的蒐集、「欠缺組織透明度」。此外IE也被檢測到不支援CSP、SRI及SOP(Same Origin Policy)及沒有內建更新機制等。

Firefox和Chrome基本上在安全功能上並駕齊驅,但在某些安全功能,像是提供資料外洩通知DNS over HTTPS支援,Firefox是眾瀏覽器中較早加入的。

今年底釋出的Firefox 70版會再增加安全功能。如果網頁以HTTP下載,或被偵測到有追蹤cookie、加密挖礦軟體,Firefox在網址列顯示不安全的圖示。


Advertisement

更多 iThome相關內容