誰是更安全的瀏覽器

摘要：隨著手機等便攜設(shè)備的普及，瀏覽器的安全變得越來越重要，如果瀏覽器存在安全隱患，出現(xiàn)問題導(dǎo)致的不僅是系統(tǒng)中毒，尤其是用戶的個人信息也將泄漏。于是我們不禁要問，那些主流的瀏覽器，誰較為安全呢？

關(guān)鍵詞：Win10內(nèi)置瀏覽器Edge；谷歌瀏覽器Chrome；火狐瀏覽器Firefox

近日有網(wǎng)站聲稱，Win10內(nèi)置瀏覽器Edge比谷歌瀏覽器Chrome以及Mozilla的火狐瀏覽器更為安全，其證據(jù)來自商業(yè)咨詢公司NSS實驗室提供的一份測試報告，該報告匯集了有關(guān)SEM（Socially Engineered Malware）和釣魚網(wǎng)頁的304樣例的測試數(shù)據(jù)，測試結(jié)果顯示Edge中提供的安全功能SmartScreen對SEM樣例的攔截成功率高達99%，同樣的測試發(fā)現(xiàn)谷歌Chrome攔截率為85.8%，F(xiàn)irefox則是78.3%。所以得出的結(jié)論說Edge是更為安全的瀏覽器，難道不是嗎？

為Edge爭光的功臣顯然是SmartScreen，它其實最早出現(xiàn)在IE 7中，當(dāng)時的功能為“防釣”（Phishing Filter），在其后的IE版本中不斷完善，它在檢測到問題網(wǎng)站時赫然顯示的鮮紅色警示頁面效果非常強烈，這樣的功能其實在Chrome和Firefox中也同樣具備，只不過它們的警示信息沒有那么醒目，更像是一種善意的提醒。況且，NSS實驗室提供的測試樣例其實都是已經(jīng)發(fā)現(xiàn)的病毒攻擊，而并不是在預(yù)先未知的情況下檢測，在這樣的背景下Edge表現(xiàn)得更好一些。但是SmartScreen只是瀏覽器安全指標(biāo)中的一部分，僅此構(gòu)建的安全網(wǎng)線是遠遠不夠的。

而且，系統(tǒng)安全，即便是瀏覽器的安全功能也是一項非常復(fù)雜的技術(shù)，很難進行量化。如果依照NSS實驗室提供的Edge在攔截SEM入侵?jǐn)r截率比其他瀏覽器高出21%，就貿(mào)然得出Edge比其他瀏覽器安全度高出21%的結(jié)論的做法當(dāng)然是可笑的，甚至是荒謬的。

隱藏在SmartScreen背后的技術(shù)其實就是“沙盒”（Sandboxing），不僅Edge，包括谷歌的Chrome都充分采用了這項安全技術(shù)，該技術(shù)將瀏覽器中每個組件元素，包括欄目、窗體、插件都分別作為獨立進程處理，彼此之間以及與外部進程都加以隔離，讓惡意代碼難以滲透入侵。將瀏覽器組件進行分割處理也有利于提高運行性能，也使得多核處理器處理更有效率。

值得指出的是，“沙盒”技術(shù)并不是一種主動防御技術(shù)，主動防御是發(fā)現(xiàn)程序有可疑行為時立即攔截并終止運行；而“沙盒”技術(shù)則是發(fā)現(xiàn)可疑行為后讓程序繼續(xù)運行，當(dāng)疑似病毒充分暴露了其病毒屬性后，“沙盒”就會執(zhí)行“回滾”機制：將病毒的痕跡和動作抹去，恢復(fù)系統(tǒng)到正常狀態(tài)。

再說Firefox，它在2004年問世時沙盒技術(shù)尚處于萌芽期，時至今日沙盒在Firefox也只是一種媒介插件，但Mozilla公司正在推進的Electrolysis項目其實就包含有沙盒以及多進程的現(xiàn)代瀏覽器安全理念，與Edge注重先鋒形象的做法相比，F(xiàn)irefox一直沒有放棄與過往13年版本保持兼容，所以其轉(zhuǎn)型也顯得較為緩慢一些。雖然在沙盒技術(shù)方面的表現(xiàn)，Edge明顯要好于Firefox，但是從技術(shù)角度考量，很難說Edge就比Chrome更好。

為了有效提高瀏覽器安全性能，瀏覽器的版本升級更新也十分必要，所以瀏覽器的自動升級功能就非常重要。在這方面，Google Chrome就像一個非常懂事的孩子，它會在用戶關(guān)閉瀏覽器之后迅速快速地安裝好，2012年之后的Firefox也有這種默默升級的優(yōu)點。盡管Edge也是自動升級，但是其補丁來自Windows系統(tǒng)下載補丁更新之后。一般而言，Windows系統(tǒng)的升級總是滯后于Chrome和Firefox那種單純的瀏覽器升級，況且還需要系統(tǒng)重啟之后才能讓Edge完成升級更新。為此，微軟開發(fā)人員最近對媒體說，他們打算通過Windows Store專門為Edge提供升級，以此為Edge爭取更多的“粉絲”。

同樣出于安全考慮，上述三款瀏覽器都提供了所謂的隱私保護模式（privacy mode），具體是：Edge中的InPrivate，Chrome中的Incognito，F(xiàn)irefox中的Private Browsing。該模式的目的是在瀏覽器窗體關(guān)閉后，所有訪問記錄、cookies以及緩存數(shù)據(jù)都會取消，不留痕跡，但其實這種說法卻充滿了童話色彩，用戶此時并不能擺脫被跟蹤的可能。在這方面，筆者認為Firefox做得更好，它在2015版本中加入了反跟蹤功能（Tracking Protection），在Private Browsing模式下可以禁止已經(jīng)發(fā)現(xiàn)的跟蹤方式；而由Firefox源代碼改寫的Tor Browser瀏覽器中加入了專門保護用戶個人信息的獨立功能，尤其難能可貴的是，F(xiàn)irefox對用戶如此關(guān)愛并沒有想從用戶那里撈錢，也沒有向用戶兜售商業(yè)廣告。

總之，Google Chrome與MS Edge在安全技術(shù)上非常近似，沒有經(jīng)過具體的實際案例而僅靠一份模擬的測試來說后者更為安全可靠是缺乏說服力的。退一步講，即便Edge真的更為出色，即使最平庸的用戶也不會愚蠢到放棄使用專門的防病毒軟件工具。Mozilla Firefox在某些方面也許暫時遜色一些，但是它特有的技術(shù)以及長期積累的人脈口碑一定會吸引更多的用戶對它寄予更大期望。

參考文獻：

[1][澳]瓦德·奧爾康（Wade Alcorn）黑客攻防技術(shù)寶典瀏覽器實戰(zhàn)篇[M].人民郵電出版社，2016（10）.

[2]徐平.瀏覽器便用技巧[M].北京：海洋出版社，2003（1）.

作者簡介：蘇德水，山東省威海市，威海市初村鎮(zhèn)威海職業(yè)學(xué)院。