有没有办法可以衡量浏览器提供的安全级别?

有没有办法可以衡量浏览器提供的安全级别?

我正在尝试找到一个在浏览网页时遵守安全标准的轻量级浏览器,并想知道我是否可以衡量每个浏览器提供的安全级别,以便对它们进行基准测试。

答案1

不,不是这样的。你可以测量已知的安全漏洞多久没有修补,但那些通常问题很快就解决了,但没有办法衡量浏览器的“安全性”。真正的问题是没有人知道的漏洞——好吧,没有人知道这些漏洞。

相反,我们可以测量浏览器已知不安全的时间,这将提供更好的机会浏览器不会被利用。评估这一点的第一步是要理解,没有“不可破解”的浏览器(或“不可破解”的程序),只有比其他浏览器更难破解的浏览器。

你在这个领域真正能做的最好的事情就是看看浏览器具有哪些安全功能(假设它们本身没有漏洞),以及开发团队在漏洞出现后能够多快修复漏洞。

安全功能的一个例子是 Chrome 的沙盒;我通常相信这会比没有沙盒的 IE7 或 IE8 更难破解该浏览器(我认为 IE9 有沙盒)。您还可以添加自己的安全层,例如在虚拟机(例如 Windows 7 的虚拟 XP 模式)或其他沙盒(例如沙盒

可以使用以下方法比较浏览器漏洞未修补漏洞数量的比较图表(请注意,链接仅作为示例,并不保证任何方面的准确性;请自行研究以获得更可靠的结果)。

与 IE 的闭源模式相比,firefox 和 chrome 的开源团队在快速修补漏洞和向用户推送补丁方面通常拥有更好的记录。一般来说,拥有更大社区查看其源代码的浏览器有望拥有更好的代码——更多人会寻找漏洞,发现漏洞的机会更大,等等。

关键在于,您真正想要问的问题是“哪种浏览器最能降低被利用的风险?”,这与原始问题有着微妙但根本的不同。

相关内容