瀏覽器陷入安全危機

3月20日，占據瀏覽器市場半壁江山的微軟正式推出了IE8瀏覽器，欲奪回自Firefox 3和Google Chrome瀏覽器發布后丟失的部分市場份額。這也成為繼去年Google發布Chrome、引發瀏覽器激戰后的又一標志性事件。微軟的競爭對手火狐、Google也在近日發布了最新的測試版產品。瀏覽器大戰正變得更加白熱化。

然而，就在瀏覽器的加載速度、兼容性等指標大幅提高的同時，安全專家卻指出，瀏覽器已經成為Web安全的巨大缺口之一，而黑客們也用實際行動證明了這一點。

瀏覽器激戰正酣

一年之計在于春。很顯然，瀏覽器的各應戰方深知這個道理。

3月13日，Mozilla在網站上放出了Firefox 3.1的第三個Beta版，該版本基于已經開發9個月的Gecko 1.9.1渲染平臺，相比舊版本在性能、網絡兼容性、易用性等方面都有明顯改進; 3月17日，Google發布了新版Chrome瀏覽器的最新測試版。Google博客稱，新的Chrome beta版加載某些網頁的速度提高了25%～35%; 隨后，瀏覽器市場的霸主微軟也終于正式推出了IE 8，加入了加速器、可視化搜索等新特性。

從市場份額來看，市場研究公司Net Applications的最新數據顯示，截止2月底，Firefox以22%的市場份額牢牢把住了市場排名第二的位置，隨后，蘋果的Safari和Google的Chrome分別以8%和1.2%分列第三、第四位。盡管IE仍以67.4%的市場份額遙遙領先于其他廠商，穩坐瀏覽器第一把交椅，但與去年9月近3/4的市場份額相比，仍然下滑不少。

而隨著互聯網的快速發展和Web應用的豐富，原本僅用于蘋果Mac機的Safari，覬覦瀏覽器的巨大市場，推出了Windows版本; Google也不甘落后，在2008年9月發布Chrome，不僅借此進軍瀏覽器市場，更重要的是，已經占60%以上市場份額的Google將進一步把控住用戶與互聯網相連的入口。這對微軟來說，無疑是巨大的威脅，也迫使微軟不得不更加重視瀏覽器市場。

而挪威廠商Opera也是瀏覽器戰場上不容忽視的一支力量。盡管它的市場份額僅占1%，但它嚴格執行W3C國際標準，雖然損失了兼容性，但其加載速度和安全性在所有使用過Opera的用戶中都樹立了良好的口碑。

此外，作為互聯網必經入口的瀏覽器，其重要性就連IBM這樣的與互聯網關聯并不緊密的老牌IT廠商也注意到了。據了解，IBM內部一個名為“藍杉”的項目正在秘密展開，而這一項目是正式聚焦在瀏覽器平臺上的。

黑客逐一攻破

正當整個IT業拭目以待，等著瀏覽器市場格局是否會出現一些改變時，參加CanSecWest安全大會的黑客們，卻給了所有瀏覽器廠商當頭一棒。

在加拿大溫哥華舉行的CanSecWest是全球安全領域知名的大會，大會舉辦的Pwn2Own黑客懸賞賽的兩大獎項，以每個瀏覽器漏洞5000美元、移動設備漏洞1萬美元的獎金的黑客攻擊的形式，來促使廠商在安全領域的進步。

據國外媒體報道，在Pwn2Own第一天，著名安全專家Charlie Miller僅用了10秒鐘，就攻破了運行在蘋果Mac操作系統上的Safari 4瀏覽器，并以此為突破點，在不到兩分鐘的時間內，取得了這臺目標筆記本電腦的系統控制權。輕松贏得了5000美元和這臺被攻破的筆記本電腦。而2008年，也是Miller在短短兩分鐘內利用Safari的漏洞，攻破預裝了Mac OS X操作系統的MacBook Air筆記本電腦，將其連同1萬美元獎金一起捧回了家。

在Miller之后，一個名叫Nils的參賽者在一臺預裝了Windows 7操作系統的索尼Vaio筆記本電腦上，攻破了剛剛發布還不到12小時的IE8瀏覽器。緊著著，他又在Mac OS X操作系統下相繼攻破了Safari和Firefox瀏覽器。隨后，微軟安全反映中心在12小時內迅速對該漏洞進行確認，據微軟方面透露，將很快發布關于該漏洞的補丁。

會后，Miller表示，蘋果的Safari在Mac OS X系統上非常容易攻破，但在Windows上反倒沒有那么容易了。

此外，Chrome雖然安全過關，成為Pwn2Own上惟一沒有被黑客突破的瀏覽器，但Miller指出，Chrome并不是100%安全的。Miller已經發現了Chrome的一個漏洞，但是“因為該瀏覽器的沙盒功能和操作系統的安全措施，使得在不適用Flash或Java插件的情況下，攻破它成了一個艱巨的挑戰”。但同時有黑客表示，既然已經知道漏洞在哪里，突破它只是時間的問題。

安全意識過于薄弱

“Web正變得越來越危險，而瀏覽器已經成為安全領域最薄弱的環節之一了。”有安全專家表示。

根據瑞士Communications Systems Group在去年下半年發布的一項調查報告顯示，使用升級了安全補丁的瀏覽器的Web用戶只有60%。特別是使用人數最多的IE用戶，只有47.6%的人在使用當時最新、安全性最高的版本。

此外，安全公司Sophos數據也顯示，如果以安全補丁是否缺失、客戶端防火墻是否被禁用，以及安全軟件是否保持更新等要素為標準，不能完全達到這些基本安全要求的用戶數量高達81%。

“這個數字雖然高得嚇人，但卻很容易理解——普通用戶一般都只會考慮瀏覽器打開網頁夠不夠快，顯示夠不夠好，沒幾個人會去考慮瀏覽器的安全問題。”安全專家指出。

而Sophos的高級安全顧問Carole Theriault則說: “不僅是用戶，網站管理員的意識也必須要提高。”管理員缺乏安全意識，疏于維護、缺少對安全威脅的理解，導致合法網站被惡意病毒感染越來越多，這也是導致瀏覽器安全問題嚴重的一大原因——用戶在一個安全性差的計算機上登錄一個帶有惡意代碼的網頁，那么這臺機器被感染的幾率必然會非常大。

“最有效的做法，當然是確保瀏覽器和所有相關加載程序的即時更新。”Scottsdale的安全分析師Paul Henry建議說，高版本的瀏覽器除技術上更為成熟、更為先進外，也封堵了大部分已知漏洞。所以相對于低版本瀏覽器而言，高版本瀏覽器安全性更高些。

此外，訂閱安全補丁通知，一旦發現新補丁就立即安裝; 考慮關閉腳本支持，避免加載某個頁面時自動運行惡意腳本; 使用最新的防病毒軟件，并盡可能在不影響計算機可用性的情況下設置好防火墻等也是有效的方式。