不過(guò)前提是BSI只對(duì)Mozilla Firefox68(ESR)�、Google Chrome76���、Microsoft Internet Explorer11和Microsoft Edge 44進(jìn)行了測(cè)試�����,并不包括 Safari��、Brave��、Opera 與 Vivaldi等瀏覽器�。
此次測(cè)試是使用BSI于2019年9月發(fā)布的“現(xiàn)代安全瀏覽器”指南中詳述的規(guī)則進(jìn)行的�����。BSI通常根據(jù)該指南就可以安全使用哪些瀏覽器向政府機(jī)構(gòu)和私營(yíng)公司提供建議��。此次指南更新完善了現(xiàn)代瀏覽器新增和改進(jìn)的安全措施與機(jī)制����,例如HSTS、SRI�、CSP 2.0、遙測(cè)處理和改進(jìn)的證書(shū)處理機(jī)制�。
根據(jù)BSI的新指南,被認(rèn)為安全的現(xiàn)代 Web 瀏覽器必須滿足以下最低要求:
必須支持TLS
必須具有受信任證書(shū)的列表
必須支持?jǐn)U展驗(yàn)證(EV)證書(shū)
必須根據(jù)證書(shū)吊銷(xiāo)列表(CRL)或在線證書(shū)狀態(tài)協(xié)議(OCSP)驗(yàn)證加載的證書(shū)
瀏覽器必須使用圖標(biāo)或顏色高亮來(lái)顯示通信何時(shí)加密到遠(yuǎn)程服務(wù)器或采用明文形式
僅在經(jīng)過(guò)特定用戶的批準(zhǔn)后��,才允許連接到使用過(guò)期證書(shū)運(yùn)行的遠(yuǎn)程網(wǎng)站
必須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)
必須支持 Same Origin Policy (SOP)
必須支持 Content Security Policy (CSP) 2.0
必須支持子資源完整性(SRI)
必須支持自動(dòng)更新
必須為關(guān)鍵的瀏覽器組件和擴(kuò)展支持單獨(dú)的更新機(jī)制
必須對(duì)瀏覽器更新進(jìn)行簽名和驗(yàn)證
瀏覽器的密碼管理器必須以加密形式存儲(chǔ)密碼
必須僅在用戶輸入主密碼之后允許訪問(wèn)瀏覽器的內(nèi)置密碼庫(kù)
用戶必須能夠從瀏覽器的密碼管理器中刪除密碼
用戶必須能夠阻止或刪除 cookie 文件
用戶必須能夠阻止或刪除自動(dòng)完成歷史記錄
用戶必須能夠阻止或刪除瀏覽歷史記錄
組織管理員必須能夠配置或阻止瀏覽器發(fā)送遙測(cè)/使用數(shù)據(jù)
瀏覽器必須支持一種機(jī)制來(lái)檢查有害內(nèi)容/URL
瀏覽器應(yīng)允許組織運(yùn)行本地存儲(chǔ)的 URL 黑名單
必須支持一些設(shè)置����,用戶可以在其中啟用/禁用插件、擴(kuò)展或腳本
瀏覽器必須能夠?qū)爰袆?chuàng)建的配置設(shè)置�,非常適合大規(guī)模企業(yè)部署
必須允許管理員禁用基于云的配置文件同步功能
必須在初始化后以最小的操作系統(tǒng)權(quán)限運(yùn)行在操作系統(tǒng)中
必須支持沙箱
所有瀏覽器組件必須彼此隔離,并且與操作系統(tǒng)隔離����。隔離組件之間的通信只能通過(guò)定義的接口進(jìn)行,不能直接訪問(wèn)隔離組件的資源
網(wǎng)頁(yè)需要彼此隔離���,最好以獨(dú)立進(jìn)程的形式�����,還要允許線程級(jí)隔離
必須使用支持堆棧和堆內(nèi)存保護(hù)的編程語(yǔ)言對(duì)瀏覽器進(jìn)行編碼
瀏覽器供應(yīng)商必須在公開(kāi)披露安全漏洞后不超過(guò)21天提供安全更新�����。如果主瀏覽器供應(yīng)商未能提供安全更新�,則組織必須移至新的瀏覽器
瀏覽器必須使用OS內(nèi)存保護(hù),例如地址空間布局隨機(jī)化(ASLR)或數(shù)據(jù)執(zhí)行保護(hù)(DEP)
組織管理員必須能夠管理或阻止未經(jīng)批準(zhǔn)的附件/擴(kuò)展的安裝
根據(jù) BSI 的說(shuō)法���,F(xiàn)irefox 是唯一支持以上所有要求的瀏覽器��,其它瀏覽器測(cè)試不通過(guò)的原因包括:
缺少對(duì)主密碼機(jī)制的支持(Chrome����、IE��、Edge)
沒(méi)有內(nèi)置的更新機(jī)制(IE)
沒(méi)有阻止遙測(cè)收集的選項(xiàng)(Chrome�����、IE���、Edge)
不支持 SOP(IE)
不支持 CSP(IE)
不支持 SRI(IE)
不支持瀏覽器配置文件/不同的配置(IE�����、Edge)
缺乏組織透明度(Chrome、IE、Edge)
WPS
QQ
QQ音樂(lè)
釘釘
百度網(wǎng)盤(pán)
愛(ài)奇藝
迅雷
酷狗
網(wǎng)易云音樂(lè)
優(yōu)酷
聚焦品牌
聚焦名企
聚焦版權(quán)
聚焦行業(yè)
會(huì)議/頒獎(jiǎng)
展會(huì)展覽
標(biāo)準(zhǔn)/新規(guī)
宣傳/代言
聚焦電商
經(jīng)銷(xiāo)/售后
聚焦新品
曝光/維權(quán)