德國政府權威驗証：Firefox是最安全的瀏覽器

【美博翻牆】德國政府所屬的聯邦資訊安全辦公室（BSI）近期公佈一份針對多個主流瀏覽器安全比較的測試結果，其中只有Firefox是唯一滿足所有安全要求的瀏覽器。

BSI在報告中測試東瀏覽器包括：Mozilla Firefox 68 (ESR)、Google Chrome 76、Microsoft Internet Explorer 11及Microsoft Edge 44，不過Safari、Brave、Opera或Vivaldi倒是未納入測試。

報告是依據德國聯邦政府頒布的現代安全瀏覽器指南，所列出的能力要求，對市面瀏覽器進行測試評分。BSI在其最新版指南中，將一些進階安全功能加入，包括HTTP強制安全傳輸技術（HTTP Strict Transport Security，HSTS）、子資源完整性（Subresource Integrity，SRI）及內容安全政策（Content Security Policy，CSP）2.0、遙測資料（telemetry）處理及憑證處理機制等。

這份文件一共列出了20多項指標，要滿足這些要求才能視為安全的現代瀏覽器。像是瀏覽器密碼管理員必須加密儲存密碼、使用者要能刪除密碼管理中的密碼、可設定防堵傳送遙測資料和使用紀錄、能關閉雲端資料同步功能、提供沙箱功能、網頁必須彼此隔離、能防護棧區（stack）和堆疊（heap）記憶體、漏洞公佈21天內要完成修補等

測試結果指出，Firefox是唯一滿足所有要求的瀏覽器。

測試報告也列出其他業者缺失，像是Chrome和微軟IE、Edge不支援主密碼（master password）機制、不讓用戶選擇關閉遙測資料的蒐集、「欠缺組織透明度」。此外IE也被檢測到不支援CSP、SRI及SOP（Same Origin Policy）及沒有內建更新機制等。

Firefox和Chrome基本上在安全功能上並駕齊驅，但在某些安全功能，像是提供資料外洩通知和DNS over HTTPS支援，Firefox是眾瀏覽器中較早加入的。

今年底釋出的Firefox 70版會再增加安全功能。如果網頁以HTTP下載，或被偵測到有追蹤cookie、加密挖礦軟體，Firefox在網址列顯示不安全的圖示。

美博提醒，如果是官方發布的任何瀏覽器，網友請注意，瀏覽器官方的安全概念與用戶的實際安全概念是不同的，面對網路審查和駭客的攻擊，在沒有經過安全設置時，對用戶而言都是不安全的。

請參考：美博對瀏覽器安全使用的建議 - 美博園