谁更安全 六款主流浏览器深度测试(图)

ZDNet 安全频道频道 更新时间:2008-06-28 作者: 来源:SohuIT

本文关键词:浏览器 安全 盗号木马

  如今,网络已经融入我们的生活,然而上网最大的安全威胁就是恶意网站和病毒木马的骚扰。据Google高级软件工程师Neils Provos表示,在2007年中Google通过对互联网上几十亿页面地址进行抓取,已经发现300万个网站存在恶意软件,这意味着每打开1000个页面,就有一个是存在恶意软件的。而且调查结果显示,恶意网站有逐步上升的势头。

  另一方面,我们上网过程中,以下情况时有发生:打开一个网页,不经意间,不停地弹出网页窗口,直至死机;弹出一个窗口,点击后,系统重启,但发现电脑再也不能正常启动了;至于其他的弹出广告、浮动广告就更不用说了,这些问题都时常困扰着广大上网用户,因而杀毒软件和恶意网站、软件拦截工具近年来愈发火热,而打开网页所必备的浏览器工具的安全性再度引起大家的高度重视。那么当前主流的浏览器中,哪个更安全呢?我们选取了 IE7、IE6以及Firefox、Maxthon、Opera、360安全浏览器的最新版本进行了深度测试(Mozilla Firefox 3.0 RC3 简体中文版、傲游Maxthon 浏览器 2.1.0 Build 2082、Opera 9.50 Build 10048 Beta、360安全浏览器Beta版),看看到底谁更安全?需要特别说明的是,本次之所以选择了IE6进行测试,因为目前使用Windows XP的用户非常多,而XP系统下,默认的都是IE6,因此,IE6有着广泛的市场占有率。

  一、 测试平台与测试方法介绍

  此次评测的计算机平台与网络配置信息如下:

  

操作系统 

Windows XP Professional SP2 

CPU 

AMD Sempron 2200+

主板

Gigabyte

内存 

512MB 

声卡 

Realtek AC97 Audio 

显卡 

VIDIA GeForce2 GTS(32MB) 

硬盘 

ST380011A 

网络连接

局域网上网

  本次测试只针对浏览器的安全功能进行测试,我们采用“第三方测试平台+恶意网站访问测试”组合测试的方法,主要测试内容包括以下四项:浏览器漏洞安全测试、浏览器弹窗拦截能力测试、恶意网站访问测试、浏览器稳定性测试。下面我们看看具体的测试结果。

  二、浏览器漏洞安全测试

  我们都知道,很多黑客攻击都是针对浏览器漏洞发起的,这也是为什么微软每个月都要发布安全补丁的原因。进行浏览器漏洞测试,我们借助第三方平台http://www.scanit.be/bcheck,ScanIT网站通过模仿22类攻击模式来检测浏览器是否存在有可被利用的漏洞,该网站提供了15项安全测试项目,比如各类溢出攻击、ActiveX控件的攻击等。

  进入http://www.scanit.be/bcheck后,网站会检测到你的系统和所使用浏览器的简单信息,如:浏览器的版本、操作平台等。接下来,需要选择测试模式:Only test for bugs specific to my type of browser ,选择改项则仅检测自己所使用的浏览器漏洞,Run all available tests则进行全部浏览器漏洞检查,包括15个检测项目。Choose individual tests一项则是按自己的需要选择项目进行测试。为了能够彻底检查出浏览器的漏洞,我们这里选择第二项进行测试。选择完成后,点击“Start the test”,检查就自动开始了,在进度条中,我们就能掌握测试的具体情况。

图1 显示系统信息,并选择测试方式

  在检测过程中,浏览器会不断地弹出许多网页窗口,还有可能会启动Media player或超级解霸等多媒体播放工具,这些都是检测中的正常现象,你完全不必担心。一般来讲,这些网页窗口大都能在测试结束后自动关闭,对于一些被启动的播放软件,你只要手动关闭它们就行了。测试过程中不要关闭窗口,测试完毕后,ScanIT会给出一份检测报告,详细为你解释每一个漏洞的具体名称,所能造成的破坏程度,最人性化的一点就是,报告中还为大家提供了漏洞补丁的下载链接。下面我们看看具体的测试结果。

图2 测试中,提示不要关闭窗口

  IE6在测试过程中出错,出错后提示继续,并询问上一测试是否通过,大家根据实际选择。IE6最终测试结果显示,有两项测试没有通过。

图3 测试出错

图4 测试结果,两项未通过

  IE7及Firefox、Maxthon、Opera、360安全浏览器5款浏览器在此项测试中不分伯仲,15项测试全部通过:

图5 360安全浏览器测试结果

图6 Firefox测试结果

图7 IE7测试结果

图8 Maxthon测试结果

图9 Opera 测试结果

  点评:从浏览器漏洞安全测试结果来看,除了IE6,其他几款浏览器看不出差异。这一方面可能是由于我们都使用的浏览器的最新版,所以相应的漏洞补丁软件开发者都进行了修补,另一方面原因可能是这个第三方测试平台在漏洞的测试项目选择上还不够好,没有站在时代的前言,将最新的漏洞用来测试。但从本轮测试中,我们不难看到一个问题,那就是IE6安全性确实差,因此,还在用IE6的“广大用户”应该注意,可能的话升级浏览器或者换用其他浏览器,毕竟浏览器软件是免费的。

  三、浏览器弹窗拦截能力测试

  上网过程中,我们经常碰到各种各样的弹出窗口,比如广告窗口、漂浮的Flash广告、强行将网页添加到收藏夹的窗口、强行打开系统内的媒体播放软件等,有的是强行打开,有的则一经点击,便会导致很多系统问题,甚至崩溃。其实这类问题正考验着浏览器软件对弹出窗口的拦截能力,拦截能力强的浏览器则可以挡住绝大部分弹窗,帮你把很多恶意的攻击行为挡在屏蔽在外。那么,究竟这几款浏览器在弹出窗口的防范能力上如何呢?我们同样借助一个专门的弹窗测试网点来进行测试(http://www.cnproxy.com/popkillertest/index.html),该网站能够模拟出目前网络上最常见的27种广告(其中有一部分是专门针对基于IE内核浏览器的,对其他浏览器不起作用)进行测试。下面我们看看实际的测试结果。

  1.IE7

  从测试果来看,IE7在12、16、22这3项测试中没有通过,不能拦截弹出窗口:

图10 第12项未通过

图11 第16项没通过

图12 第22项测试没通过

  2.IE6

  IE6的27项弹窗测试中,有7项没有通过,分别是11、12、16、17、21、26、27项,这里我们只截取了第11项未通过的截图,其他的不再截取。从这里我们也可以看出。IE6安全性确实不如IE7,IE7在12、16、22项没通过,在IE6中也没通过,而且增加了好几项。

图13 第11项未通过测试

  3.Maxthon

  傲游浏览器也有7项测试没有通过,分别是第8、11、12、16、18、22、25项:

图14 第8项未通过测试

图15第11项未通过测试

图16第12项未通过测试

  4.Firefox

  Firefox 在弹窗测试中表现非常不错,27项测试中,只有12、22项未通过:

图17 第12项未通过

图18 第22项未通过

  5.Opera

  Opera浏览器有4项没有通过,分别为7、12、13、25项:

图19 第7项没有通过

  6.360安全浏览器

  360安全浏览器共有5项没有通过测试,分别是11、16、19、22、25项:

图20 第11项没通过

  点评:从以上的测试结果我们不难看出,在浏览器弹窗测试中,IE7和Firefox表现较好,分别只有3项和2项没有通过测试,而Opera和360安全浏览器大致差不多,表现最差的是IE6和Maxthon,都有7项没有通过,这不得不让我们对Maxthon浏览器的安全提出较高的要求。我们知道Maxthon浏览器在功能和易用性上,在几款浏览器中比较领先,然而,安全同样不能忽略啊!

  此外,在测试项目中,我们看到,其中11、12、13、16、17、21、22、25、26、27这几项测试相对较难,网站方也表示很多工具都不能通过测试。而事实上的测试结果也证明了这一点,几款浏览器都不约而同地“栽”在这几个难点测试中。从这里不能看出,浏览器的整体安全性都还有待提高,浏览器不应该停留在只提“具备XX安全功能,但实际表现却很差”的层面。

  四、恶意网站访问测试

  前面我们介绍了,近年来恶意网站正呈现上升的势头,为此Google专门推出了一套针对网站的恶意软件诊断服务,通过侦测网址就可以对某个特定的站点进行侦测,确定该网页是否存在被木马或病毒利用的情况。Google恶意软件侦测网址为“google.com/safebrowsing/diagnostic?site=”,具体使用是只需在该网址后面加入需要诊断的网站域名即可自动进行测试。

  通过实际测试结果来看,Google的这项恶意网站测试功能目前还不够完善,比如最近网上流传的比较“猛”的恶意网站www.live322.cn,用Google这一诊断服务,竟然得到的结果是“安全的”网站。

图21 Google恶意网站诊断

  出现这种情况的原因是该诊断服务推出的时间不长,数据库还不够完善,而且没更上最新的数据,在评定方法上,Google网站恶意软件侦测服务的结果与Google在搜索结果是一致的,没有标示出有恶意软件的站点,在诊断时将不会出现任何问题。因而还存在一些问题,但这一功能至少可以给我们一些参考。下面我们就用www.live322.cn这个恶意网站来进行本次测试。

  为了保证对系统不产生破坏,建议在虚拟机中进行此次测试,在浏览器中打开该网站,我们发现网站没有任何页面,甚至提示无权访问,然而这只不过是掩人耳目的招数罢了。可以直接进入网站目录,比如打开www.live322.cn/***.swf ,将打开一个空白Flash,看不到任何提示,浏览器没有任何拦击,而且杀毒软件开启了实时监控也没有任何提示,一切看似正常。然而很快你会发现系统出问题了,重启系统后,你会发现启动项中增加了好几个莫名的项目、系统进程中也有很多陌生进程,打开QQ,软件界面提示发现盗号木马,同时,瑞星杀毒软件的实时监控已经被禁用,系统时间已经被更改到2000年,此外,用瑞星卡卡上网安全助手检测系统,发现13个恶意软件以及7个病毒木马,非常恐怖。

图22 启动项中增加可执行文件

图23 QQ提示发现盗号木马

图24瑞星杀毒软件的实时监控被禁用

图25 系统时间被更改

图26 检测到多个恶意软件和病毒木马

  看到此处,我们不得不对这个网站高度关注,一个网站,竟能搞出这么多玄机。经过分析,该网站正是利用的Flash Player漏洞的木马下载器,入侵系统后会悄悄下载其他病毒,并盗取网游账号、破坏系统等。该漏洞出现在Flash Player9.0115版本以及更早版本上,黑客专门制作一些恶意Flash文件,进而在下载和播放swf时自动下载其他恶意程序,让人防不胜防!

  对于这个恶意网站,我们的探讨暂时告一段落。回过头来,我们看看浏览器在安全方面的表现,对于这类恶意网站,浏览器几乎无能为力。我们对几款浏览器都进行了测试,然而结果非常失望,虽然,这些浏览器都宣称自己如何如何安全,然而,遭遇这类植入木马的网页,浏览器仍然“无惧无畏”,“勇敢打开”,而带给用户的确是无尽的病毒。

  点评:在恶意网站测试中,我们选取了一个比较“毒”的网站,这下不但难倒了所有的浏览器,就连杀毒软件也纷纷下马,看来,安全不能只停留在口头层面,安全领域本应是“魔高一尺,道高一丈”,如今却似乎颠倒了,上演着“道高一尺,魔高一丈”的戏剧画面。这不得不让浏览器以及所有安全领域的引起反思,“主动防御”的口号提出了很久,然而落到实处似乎尚远!

  五、浏览器稳定性测试

  前面我们对浏览器的几项安全性进行了测试,从中谁是“英雄”想必大家都心中有数了。这里最后再对浏览器的稳定性进行测试,浏览器的稳定性不但涉及到浏览器的易用,同时也反应了浏览器的安全,试想,浏览器总出错、崩溃,造成信息泄露,还有什么安全可言呢?

  测试这浏览器的稳定性能,我们借助了第三方平台http://www.sspred.com/ahmore/ajax.htm ,该站点上提供的“JS XMLHttp 同步请求测试”。当请求被处理时, 普通浏览器会进入冻结状态。虽然绝大多数此类响应都非常迅速, 并不会造成麻烦, 但是如果请求和/或文件传输过程出现故障, 用户的浏览器就可能无法响应多达数分钟, 直至请求超时。通过实测证明,这6款浏览器都能较好的应对。

图27 IE7稳定性测试

图28 Opera稳定性测试

  六、测试总结:IE7、Firefox较佳 整体亟待提升

  本次测试,我们没有对几款浏览器的功能进行对比,这是因为浏览器产品本身在功能上都大同小异,只是表现形式上有差异,随着浏览器市场日益成熟,产品之间竞争也主要是细节的争夺。从本次测试看,整体来讲,IE7和Firefox表现较好,在各项安全测试中都大致差不多,可以说难分伯仲;IE6确实存在诸多问题,可以说漏洞百出,也难怪之前用户纷纷指责微软,进而对IE7抱有较高的期望,这里我们也强烈建议大家更换掉IE6,同时我们也希望正处于测试版的IE8能从根本上解决安全问题,这样才能名至实归;至于opera浏览器,各项表现都较为中庸,其安全性能与新推出的360安全浏览器类似;让很多用户大跌眼镜的是Maxthon浏览器的安全特性,或许其功能确实有很多独到之处,然而安全性却是Maxthon不得不面对的一个问题。另外,从整体来看,几款浏览器安全性水平都不够高,不足以抵御当前复杂的网络恶意攻击行为,甚至包括一些杀毒软件,都有很大的提升空间,我们期待着真正的“安全”来临!

安全频道 浏览器 最新报道

安全频道 安全 最新报道

安全频道 盗号木马 最新报道

[an error occurred while processing this directive]