3月20日,占據(jù)瀏覽器市場半壁江山的微軟正式推出了IE8瀏覽器,欲奪回自Firefox 3和Google Chrome瀏覽器發(fā)布后丟失的部分市場份額。這也成為繼去年Google發(fā)布Chrome、引發(fā)瀏覽器激戰(zhàn)后的又一標(biāo)志性事件。微軟的競爭對手火狐、Google也在近日發(fā)布了最新的測試版產(chǎn)品。瀏覽器大戰(zhàn)正變得更加白熱化。
然而,就在瀏覽器的加載速度、兼容性等指標(biāo)大幅提高的同時,安全專家卻指出,瀏覽器已經(jīng)成為Web安全的巨大缺口之一,而黑客們也用實際行動證明了這一點。
瀏覽器激戰(zhàn)正酣
一年之計在于春。很顯然,瀏覽器的各應(yīng)戰(zhàn)方深知這個道理。
3月13日,Mozilla在網(wǎng)站上放出了Firefox 3.1的第三個Beta版,該版本基于已經(jīng)開發(fā)9個月的Gecko 1.9.1渲染平臺,相比舊版本在性能、網(wǎng)絡(luò)兼容性、易用性等方面都有明顯改進; 3月17日,Google發(fā)布了新版Chrome瀏覽器的最新測試版。Google博客稱,新的Chrome beta版加載某些網(wǎng)頁的速度提高了25%~35%; 隨后,瀏覽器市場的霸主微軟也終于正式推出了IE 8,加入了加速器、可視化搜索等新特性。
從市場份額來看,市場研究公司Net Applications的最新數(shù)據(jù)顯示,截止2月底,F(xiàn)irefox以22%的市場份額牢牢把住了市場排名第二的位置,隨后,蘋果的Safari和Google的Chrome分別以8%和1.2%分列第三、第四位。盡管IE仍以67.4%的市場份額遙遙領(lǐng)先于其他廠商,穩(wěn)坐瀏覽器第一把交椅,但與去年9月近3/4的市場份額相比,仍然下滑不少。
而隨著互聯(lián)網(wǎng)的快速發(fā)展和Web應(yīng)用的豐富,原本僅用于蘋果Mac機的Safari,覬覦瀏覽器的巨大市場,推出了Windows版本; Google也不甘落后,在2008年9月發(fā)布Chrome,不僅借此進軍瀏覽器市場,更重要的是,已經(jīng)占60%以上市場份額的Google將進一步把控住用戶與互聯(lián)網(wǎng)相連的入口。這對微軟來說,無疑是巨大的威脅,也迫使微軟不得不更加重視瀏覽器市場。
而挪威廠商Opera也是瀏覽器戰(zhàn)場上不容忽視的一支力量。盡管它的市場份額僅占1%,但它嚴(yán)格執(zhí)行W3C國際標(biāo)準(zhǔn),雖然損失了兼容性,但其加載速度和安全性在所有使用過Opera的用戶中都樹立了良好的口碑。
此外,作為互聯(lián)網(wǎng)必經(jīng)入口的瀏覽器,其重要性就連IBM這樣的與互聯(lián)網(wǎng)關(guān)聯(lián)并不緊密的老牌IT廠商也注意到了。據(jù)了解,IBM內(nèi)部一個名為“藍杉”的項目正在秘密展開,而這一項目是正式聚焦在瀏覽器平臺上的。
黑客逐一攻破
正當(dāng)整個IT業(yè)拭目以待,等著瀏覽器市場格局是否會出現(xiàn)一些改變時,參加CanSecWest安全大會的黑客們,卻給了所有瀏覽器廠商當(dāng)頭一棒。
在加拿大溫哥華舉行的CanSecWest是全球安全領(lǐng)域知名的大會,大會舉辦的Pwn2Own黑客懸賞賽的兩大獎項,以每個瀏覽器漏洞5000美元、移動設(shè)備漏洞1萬美元的獎金的黑客攻擊的形式,來促使廠商在安全領(lǐng)域的進步。
據(jù)國外媒體報道,在Pwn2Own第一天,著名安全專家Charlie Miller僅用了10秒鐘,就攻破了運行在蘋果Mac操作系統(tǒng)上的Safari 4瀏覽器,并以此為突破點,在不到兩分鐘的時間內(nèi),取得了這臺目標(biāo)筆記本電腦的系統(tǒng)控制權(quán)。輕松贏得了5000美元和這臺被攻破的筆記本電腦。而2008年,也是Miller在短短兩分鐘內(nèi)利用Safari的漏洞,攻破預(yù)裝了Mac OS X操作系統(tǒng)的MacBook Air筆記本電腦,將其連同1萬美元獎金一起捧回了家。
在Miller之后,一個名叫Nils的參賽者在一臺預(yù)裝了Windows 7操作系統(tǒng)的索尼Vaio筆記本電腦上,攻破了剛剛發(fā)布還不到12小時的IE8瀏覽器。緊著著,他又在Mac OS X操作系統(tǒng)下相繼攻破了Safari和Firefox瀏覽器。隨后,微軟安全反映中心在12小時內(nèi)迅速對該漏洞進行確認(rèn),據(jù)微軟方面透露,將很快發(fā)布關(guān)于該漏洞的補丁。
會后,Miller表示,蘋果的Safari在Mac OS X系統(tǒng)上非常容易攻破,但在Windows上反倒沒有那么容易了。
此外,Chrome雖然安全過關(guān),成為Pwn2Own上惟一沒有被黑客突破的瀏覽器,但Miller指出,Chrome并不是100%安全的。Miller已經(jīng)發(fā)現(xiàn)了Chrome的一個漏洞,但是“因為該瀏覽器的沙盒功能和操作系統(tǒng)的安全措施,使得在不適用Flash或Java插件的情況下,攻破它成了一個艱巨的挑戰(zhàn)”。但同時有黑客表示,既然已經(jīng)知道漏洞在哪里,突破它只是時間的問題。
安全意識過于薄弱
“Web正變得越來越危險,而瀏覽器已經(jīng)成為安全領(lǐng)域最薄弱的環(huán)節(jié)之一了?!庇邪踩珜<冶硎尽?/p>
根據(jù)瑞士Communications Systems Group在去年下半年發(fā)布的一項調(diào)查報告顯示,使用升級了安全補丁的瀏覽器的Web用戶只有60%。特別是使用人數(shù)最多的IE用戶,只有47.6%的人在使用當(dāng)時最新、安全性最高的版本。
此外,安全公司Sophos數(shù)據(jù)也顯示,如果以安全補丁是否缺失、客戶端防火墻是否被禁用,以及安全軟件是否保持更新等要素為標(biāo)準(zhǔn),不能完全達到這些基本安全要求的用戶數(shù)量高達81%。
“這個數(shù)字雖然高得嚇人,但卻很容易理解——普通用戶一般都只會考慮瀏覽器打開網(wǎng)頁夠不夠快,顯示夠不夠好,沒幾個人會去考慮瀏覽器的安全問題?!卑踩珜<抑赋觥?/p>
而Sophos的高級安全顧問Carole Theriault則說: “不僅是用戶,網(wǎng)站管理員的意識也必須要提高?!惫芾韱T缺乏安全意識,疏于維護、缺少對安全威脅的理解,導(dǎo)致合法網(wǎng)站被惡意病毒感染越來越多,這也是導(dǎo)致瀏覽器安全問題嚴(yán)重的一大原因——用戶在一個安全性差的計算機上登錄一個帶有惡意代碼的網(wǎng)頁,那么這臺機器被感染的幾率必然會非常大。
“最有效的做法,當(dāng)然是確保瀏覽器和所有相關(guān)加載程序的即時更新?!盨cottsdale的安全分析師Paul Henry建議說,高版本的瀏覽器除技術(shù)上更為成熟、更為先進外,也封堵了大部分已知漏洞。所以相對于低版本瀏覽器而言,高版本瀏覽器安全性更高些。
此外,訂閱安全補丁通知,一旦發(fā)現(xiàn)新補丁就立即安裝; 考慮關(guān)閉腳本支持,避免加載某個頁面時自動運行惡意腳本; 使用最新的防病毒軟件,并盡可能在不影響計算機可用性的情況下設(shè)置好防火墻等也是有效的方式。