誰是更安全的瀏覽器

摘要：隨著手機等便攜設備的普及，瀏覽器的安全變得越來越重要，如果瀏覽器存在安全隱患，出現問題導致的不僅是系統中毒，尤其是用戶的個人信息也將泄漏。于是我們不禁要問，那些主流的瀏覽器，誰較為安全呢？

關鍵詞：Win10內置瀏覽器Edge；谷歌瀏覽器Chrome；火狐瀏覽器Firefox

近日有網站聲稱，Win10內置瀏覽器Edge比谷歌瀏覽器Chrome以及Mozilla的火狐瀏覽器更為安全，其證據來自商業咨詢公司NSS實驗室提供的一份測試報告，該報告匯集了有關SEM（Socially Engineered Malware）和釣魚網頁的304樣例的測試數據，測試結果顯示Edge中提供的安全功能SmartScreen對SEM樣例的攔截成功率高達99%，同樣的測試發現谷歌Chrome攔截率為85.8%，Firefox則是78.3%。所以得出的結論說Edge是更為安全的瀏覽器，難道不是嗎？

為Edge爭光的功臣顯然是SmartScreen，它其實最早出現在IE 7中，當時的功能為“防釣”（Phishing Filter），在其后的IE版本中不斷完善，它在檢測到問題網站時赫然顯示的鮮紅色警示頁面效果非常強烈，這樣的功能其實在Chrome和Firefox中也同樣具備，只不過它們的警示信息沒有那么醒目，更像是一種善意的提醒。況且，NSS實驗室提供的測試樣例其實都是已經發現的病毒攻擊，而并不是在預先未知的情況下檢測，在這樣的背景下Edge表現得更好一些。但是SmartScreen只是瀏覽器安全指標中的一部分，僅此構建的安全網線是遠遠不夠的。

而且，系統安全，即便是瀏覽器的安全功能也是一項非常復雜的技術，很難進行量化。如果依照NSS實驗室提供的Edge在攔截SEM入侵攔截率比其他瀏覽器高出21%，就貿然得出Edge比其他瀏覽器安全度高出21%的結論的做法當然是可笑的，甚至是荒謬的。

隱藏在SmartScreen背后的技術其實就是“沙盒”（Sandboxing），不僅Edge，包括谷歌的Chrome都充分采用了這項安全技術，該技術將瀏覽器中每個組件元素，包括欄目、窗體、插件都分別作為獨立進程處理，彼此之間以及與外部進程都加以隔離，讓惡意代碼難以滲透入侵。將瀏覽器組件進行分割處理也有利于提高運行性能，也使得多核處理器處理更有效率。

值得指出的是，“沙盒”技術并不是一種主動防御技術，主動防御是發現程序有可疑行為時立即攔截并終止運行；而“沙盒”技術則是發現可疑行為后讓程序繼續運行，當疑似病毒充分暴露了其病毒屬性后，“沙盒”就會執行“回滾”機制：將病毒的痕跡和動作抹去，恢復系統到正常狀態。

再說Firefox，它在2004年問世時沙盒技術尚處于萌芽期，時至今日沙盒在Firefox也只是一種媒介插件，但Mozilla公司正在推進的Electrolysis項目其實就包含有沙盒以及多進程的現代瀏覽器安全理念，與Edge注重先鋒形象的做法相比，Firefox一直沒有放棄與過往13年版本保持兼容，所以其轉型也顯得較為緩慢一些。雖然在沙盒技術方面的表現，Edge明顯要好于Firefox，但是從技術角度考量，很難說Edge就比Chrome更好。

為了有效提高瀏覽器安全性能，瀏覽器的版本升級更新也十分必要，所以瀏覽器的自動升級功能就非常重要。在這方面，Google Chrome就像一個非常懂事的孩子，它會在用戶關閉瀏覽器之后迅速快速地安裝好，2012年之后的Firefox也有這種默默升級的優點。盡管Edge也是自動升級，但是其補丁來自Windows系統下載補丁更新之后。一般而言，Windows系統的升級總是滯后于Chrome和Firefox那種單純的瀏覽器升級，況且還需要系統重啟之后才能讓Edge完成升級更新。為此，微軟開發人員最近對媒體說，他們打算通過Windows Store專門為Edge提供升級，以此為Edge爭取更多的“粉絲”。

同樣出于安全考慮，上述三款瀏覽器都提供了所謂的隱私保護模式（privacy mode），具體是：Edge中的InPrivate，Chrome中的Incognito，Firefox中的Private Browsing。該模式的目的是在瀏覽器窗體關閉后，所有訪問記錄、cookies以及緩存數據都會取消，不留痕跡，但其實這種說法卻充滿了童話色彩，用戶此時并不能擺脫被跟蹤的可能。在這方面，筆者認為Firefox做得更好，它在2015版本中加入了反跟蹤功能（Tracking Protection），在Private Browsing模式下可以禁止已經發現的跟蹤方式；而由Firefox源代碼改寫的Tor Browser瀏覽器中加入了專門保護用戶個人信息的獨立功能，尤其難能可貴的是，Firefox對用戶如此關愛并沒有想從用戶那里撈錢，也沒有向用戶兜售商業廣告。

總之，Google Chrome與MS Edge在安全技術上非常近似，沒有經過具體的實際案例而僅靠一份模擬的測試來說后者更為安全可靠是缺乏說服力的。退一步講，即便Edge真的更為出色，即使最平庸的用戶也不會愚蠢到放棄使用專門的防病毒軟件工具。Mozilla Firefox在某些方面也許暫時遜色一些，但是它特有的技術以及長期積累的人脈口碑一定會吸引更多的用戶對它寄予更大期望。

參考文獻：

[1][澳]瓦德·奧爾康（Wade Alcorn）黑客攻防技術寶典瀏覽器實戰篇[M].人民郵電出版社，2016（10）.

[2]徐平.瀏覽器便用技巧[M].北京：海洋出版社，2003（1）.

作者簡介：蘇德水，山東省威海市，威海市初村鎮威海職業學院。