安全性谁是王者?——IE7.0与Firefox2.0捉对死磕
网络安全
话说IE登上浏览器的武林盟主之位,自IE6.0后5年光阴里,固步自封疏于对IE功力的提升。殊不知5年光阴流氓软件、网上钓鱼已经把IE6钻得千疮百孔,让网民怨声载道。武林后生——Firefox等新生浏览器借势出击。
微软坐不住了,不得已将潜心修炼数年的法宝Vista中IE7.0提前解封。相应的Firefox在IE7.0推出数日后火速抛出了自己的最新武器Firefox2.0,眼看一场王座争夺战即将爆发。
这两款浏览器均号称拥有很强的安全性能,能够保护上网者的上网安全。那么IE7.0与Firefox2.0到底谁更加安全呢?本期,我们就对它们的安全性进行评比,看看到底谁才是安全性之王。
金钟罩——弹出窗口拦截能力
现如今各式各样的弹出窗口,远非5年前可比,来看看IE7.0和Firefox2.0面对令人恐怖的疯狂弹窗时的拦截能力。值得一提的是IE7.0弹窗拦截器可自定义筛选级别,分为高(阻止所有弹窗)、中(阻止大多数弹窗)、低(允许安全站点的弹窗)。
以弹窗测试网站cnproxy.com的27种各类弹窗为例作了测试,结果如下表。
从整体拦截率来看IE7.0和Firefox2.0都比它们的上一版本有了很大提升,有一点令人遗憾的是这两位高手均未通过第12项基于层layer的弹出窗口测试(如图1)。这说明它们对这种极可能泛滥的layer弹出窗口还都须在功力上加强。
第一回合下来,IE7.0和Firefox2.0战成平手,弹出窗口拦截率均达到了82%,双方的金钟罩功夫果真名不虚传。
铁布衫——反钓鱼、防窃听功能测试
反钓鱼
网络钓鱼作为近两年出现的不法行为危害极大,利用貌似域名和以假乱真的网页来行骗,网民稍不留神就会上钩。如前段时间闹得沸沸扬扬的真假工行网站www.1cbc.com.cn(假)www.icbc.com.cn(真)。IE7.0和Firefox2.0都加入了反钓鱼功能,它们均称自己可以帮助用户防范钓鱼欺诈网站,那么它们之间,谁更加厉害呢?
先来看IE7.0的反钓鱼功能,当打开一个网站页面后,其“仿冒软件筛选器”就开始对此页面进行扫描,并在状态栏显示出来(图2)。
另可点击“工具→仿冒网站筛选”在菜单中选择“检查此网站”对当前访问的页面进行筛选。还可以点击“报告此网站”举报以完善微软反钓鱼数据库。
再来看Firefox2.0的反钓鱼措施,在 “工具→选项”里“安全”标签中就可以启用“伪造网站警告”,其中有两种警告规则,一是使用已下载的可疑网站列表对其钓鱼网址进行检查,另一种是利用Google协助检查每一个访问的站点(图3)。
不可否认Firefox2.0在反钓鱼功能上要比IE7.0略微逊色,原因在于IE7.0的“仿冒网站筛选器”是扫描用户当前访问的网页,然后将这些信息发送给第三方网站进行对照,如果发现可疑就会提出警告。而Firefox2.0则是通过内置网址黑名单方式,需要经常更新。
防窃听
平日,用户与网站的交互数据都是明文传输非加密的,由于网络传输从服务器到客户端需要经过层层叠叠的路由器和交换机,在这过程中传输的数据极有可能被非法窃听。主流浏览器都采取了一系列的加密措施如SSL2.0、SSL3.0、TSL1.0、SET等。
先来看IE7.0的防窃听措施,在打开工商银行网站页面时,IE7.0会在地址栏出现一个“小锁”图标,提示“与此服务器的连接已被加密”(图4)。
当用户非要点击通过一个证书错误的页面时,IE的地址栏会被红色所填满,以给用户一个持续长久的警告。在加密协议方面,IE7.0使用了SSL2.0及更高级别的SSL3.0和TSL1.0,并默认开启128位密钥加密,大大提高了防窃听能力。
再来看Firefox2.0的防窃听绝技,同样打开工商银行网站页面,会发现整个地址栏变成了醒目的黄色,且最右侧也出现了“小锁”图标,点击后可以看到该页面的详细信息,我们注意到Firefox2.0也采用了128位强加密(图5)。
点击 “工具→选项”,在“安全”标签中我们看到了Firefox2.0直接采用了SSL3.0和TSL1.0两种加密协议。
SSL:中文名为“ 安全套接层协议层 ”,指定一种在应用程序协议(如 HTTP 、FTP 等)和TCP/IP 协议之间提供数据安全性分层的机制,为 TCP/IP 连接提供数据加密、服务器认证、消息完整性及客户机认证,3.0是其最新版本。TSL1.0与SSL3.0在技术层面差别微小。
第二回合比拼下来,双方实力果然不可小视。两者都将一身铁布衫功夫练到了炉火纯青,高规格的反钓鱼防窃听技术着实令人大开眼界。不过鉴于Firefox2.0采用比较保守的内置黑名单模式相比,IE7.0的实时页面筛选扫描技术略为逊色,所以此回合判定IE7.0胜。
独门内功——防插件、清隐私
防插件
说起浏览器插件就不得不提一个让人恨之入骨的话题——流氓软件!流氓软件最喜欢干的就是绑架浏览器。来看两位高手如何对付令人棘手的流氓插件。
IE7.0大幅增强了对插件的防范和管理,对各种插件有较强的抵御能力,在其默认设置情况下,在线式插件将无法强行安装。
内置的浏览器加载项管理功能,顾名思义就是对加载于IE7.0的各种插件可以随时管理,选择启用、禁用甚至删除这些插件,极大地方便了用户对各种插件的管理,而流氓插件也将在这里被暴露无遗。点击“工具→管理加载项→启用或禁用加载项”,在窗口中详细列出了加载IE的各类插件(图6)。
最让人叫绝的还数IE7.0内置的“重置Internet Explorer设置”功能,点击“重置”按钮后IE将删除所有临时文件、禁用浏览器加载项并重置所有更改的设置,有点类似于品牌机所具备的“还原出厂设置”(图7)。
此举意味着依赖于IE生存的各类流氓插件将被瞬间“就地正法”,这可谓微软向流氓软件投下的一枚重磅炸弹命中要害。
为何此次IE7.0安全性能改进如此之大?原来是武林盟主微软饱受IE6.0引来的非议,闭关5年终使IE7.0练就了少林上乘内功——“易筋经”。
再来看Firefox2.0如何对付流氓插件,在对Firefox2.0测试了当前流行的5种恶意浏览器插件,发现均无法安装。原来人家Firefox可是非IE内核,其自身独立结构不与系统挂钩,而目前绝大多数插件都是针对IE的,自然没法对Firefox耍流氓手段。可谓天生就具有“金刚不坏之体”!
不怕你这些阿猫阿狗的恶意插件。不过Firefox2.0也想到了江湖善变万一哪天来个针对自己的XX助手咋办?于是趁早做了预防工作内置了附加软件警告功能,当有插件要安装时将发出警告。
清隐私
用户浏览网页会留下各种历史记录,谁也不愿意让别人看到自己的这些隐私信息。在IE7.0里,点击“工具→删除浏览历史”分别列出了临时文件、Cookie、历史记录、表单数据和密码5个项目,可按需选择某项删除或“全部删除”,这比起IE6.0烦琐的删除步骤简化了很多,操作更加明了。
而Firefox2.0隐私清除功能比IE7.0更加便捷全面,直接点“工具→清除私有信息”(图8)即可清除多达7项隐私信息,更符合网民习惯。
这一回合双方比试各自的内力,IE7.0练成了震惊武林的上乘内功“易筋经”,而Firefox2.0将其“金刚不坏之体”发挥到了极致。但终究因Firefox2.0先天绝对优势在这局领先IE7.0。
总结
最终IE7.0与Firefox2.0在安全性评比中不相上下。从中我们可以看到IE7.0和Firefox2.0对浏览器安全性能的高度重视,特别是IE7.0最新的浏览器重置功能更是让人拍手叫好。总之这两款浏览器还有待于大家进一步去亲自体验,在使用过程中,你会深刻感受到它们为你带来的便利。