德国政府权威验证：Firefox是最安全的浏览器

【美博翻墙】德国政府所属的联邦网络安全办公室（BSI）近期公布一份针对多个主流浏览器安全比较的测试结果，其中只有Firefox是唯一满足所有安全要求的浏览器。

BSI在报告中测试东浏览器包括：Mozilla Firefox 68 (ESR)、Google Chrome 76、Microsoft Internet Explorer 11及Microsoft Edge 44，不过Safari、Brave、Opera或Vivaldi倒是未纳入测试。

报告是依据德国联邦政府颁布的现代安全浏览器指南，所列出的能力要求，对市面浏览器进行测试评分。BSI在其最新版指南中，将一些进阶安全功能加入，包括HTTP强制安全传输技术（HTTP Strict Transport Security，HSTS）、子资源完整性（Subresource Integrity，SRI）及内容安全政策（Content Security Policy，CSP）2.0、遥测资料（telemetry）处理及凭证处理机制等。

这份文件一共列出了20多项指标，要满足这些要求才能视为安全的现代浏览器。像是浏览器密码管理员必须加密储存密码、使用者要能删除密码管理中的密码、可设定防堵传送遥测资料和使用纪录、能关闭云端资料同步功能、提供沙箱功能、网页必须彼此隔离、能防护栈区（stack）和堆叠（heap）内存、漏洞公布21天内要完成修补等

测试结果指出，Firefox是唯一满足所有要求的浏览器。

测试报告也列出其他业者缺失，像是Chrome和微软IE、Edge不支援主密码（master password）机制、不让用户选择关闭遥测资料的蒐集、“欠缺组织透明度”。此外IE也被检测到不支援CSP、SRI及SOP（Same Origin Policy）及没有内建更新机制等。

Firefox和Chrome基本上在安全功能上并驾齐驱，但在某些安全功能，像是提供资料外泄通知和DNS over HTTPS支援，Firefox是众浏览器中较早加入的。

今年底释出的Firefox 70版会再增加安全功能。如果网页以HTTP下载，或被侦测到有追踪cookie、加密挖矿软件，Firefox在地址栏显示不安全的图示。

美博提醒，如果是官方发布的任何浏览器，网友请注意，浏览器官方的安全概念与用户的实际安全概念是不同的，面对网络审查和黑客的攻击，在没有经过安全设置时，对用户而言都是不安全的。

请参考：美博对浏览器安全使用的建议 - 美博园