3月20日，占據(jù)瀏覽器市場(chǎng)半壁江山的微軟正式推出了IE8瀏覽器，欲奪回自Firefox 3和Google Chrome瀏覽器發(fā)布后丟失的部分市場(chǎng)份額。這也成為繼去年Google發(fā)布Chrome、引發(fā)瀏覽器激戰(zhàn)后的又一標(biāo)志性事件。微軟的競(jìng)爭(zhēng)對(duì)手火狐、Google也在近日發(fā)布了最新的測(cè)試版產(chǎn)品。瀏覽器大戰(zhàn)正變得更加白熱化。

然而，就在瀏覽器的加載速度、兼容性等指標(biāo)大幅提高的同時(shí)，安全專家卻指出，瀏覽器已經(jīng)成為Web安全的巨大缺口之一，而黑客們也用實(shí)際行動(dòng)證明了這一點(diǎn)。

瀏覽器激戰(zhàn)正酣

一年之計(jì)在于春。很顯然，瀏覽器的各應(yīng)戰(zhàn)方深知這個(gè)道理。

3月13日，Mozilla在網(wǎng)站上放出了Firefox 3.1的第三個(gè)Beta版，該版本基于已經(jīng)開(kāi)發(fā)9個(gè)月的Gecko 1.9.1渲染平臺(tái)，相比舊版本在性能、網(wǎng)絡(luò)兼容性、易用性等方面都有明顯改進(jìn); 3月17日，Google發(fā)布了新版Chrome瀏覽器的最新測(cè)試版。Google博客稱，新的Chrome beta版加載某些網(wǎng)頁(yè)的速度提高了25%～35%; 隨后，瀏覽器市場(chǎng)的霸主微軟也終于正式推出了IE 8，加入了加速器、可視化搜索等新特性。

從市場(chǎng)份額來(lái)看，市場(chǎng)研究公司Net Applications的最新數(shù)據(jù)顯示，截止2月底，F(xiàn)irefox以22%的市場(chǎng)份額牢牢把住了市場(chǎng)排名第二的位置，隨后，蘋(píng)果的Safari和Google的Chrome分別以8%和1.2%分列第三、第四位。盡管IE仍以67.4%的市場(chǎng)份額遙遙領(lǐng)先于其他廠商，穩(wěn)坐瀏覽器第一把交椅，但與去年9月近3/4的市場(chǎng)份額相比，仍然下滑不少。

而隨著互聯(lián)網(wǎng)的快速發(fā)展和Web應(yīng)用的豐富，原本僅用于蘋(píng)果Mac機(jī)的Safari，覬覦瀏覽器的巨大市場(chǎng)，推出了Windows版本; Google也不甘落后，在2008年9月發(fā)布Chrome，不僅借此進(jìn)軍瀏覽器市場(chǎng)，更重要的是，已經(jīng)占60%以上市場(chǎng)份額的Google將進(jìn)一步把控住用戶與互聯(lián)網(wǎng)相連的入口。這對(duì)微軟來(lái)說(shuō)，無(wú)疑是巨大的威脅，也迫使微軟不得不更加重視瀏覽器市場(chǎng)。

而挪威廠商O(píng)pera也是瀏覽器戰(zhàn)場(chǎng)上不容忽視的一支力量。盡管它的市場(chǎng)份額僅占1%，但它嚴(yán)格執(zhí)行W3C國(guó)際標(biāo)準(zhǔn)，雖然損失了兼容性，但其加載速度和安全性在所有使用過(guò)Opera的用戶中都樹(shù)立了良好的口碑。

此外，作為互聯(lián)網(wǎng)必經(jīng)入口的瀏覽器，其重要性就連IBM這樣的與互聯(lián)網(wǎng)關(guān)聯(lián)并不緊密的老牌IT廠商也注意到了。據(jù)了解，IBM內(nèi)部一個(gè)名為“藍(lán)杉”的項(xiàng)目正在秘密展開(kāi)，而這一項(xiàng)目是正式聚焦在瀏覽器平臺(tái)上的。

黑客逐一攻破

正當(dāng)整個(gè)IT業(yè)拭目以待，等著瀏覽器市場(chǎng)格局是否會(huì)出現(xiàn)一些改變時(shí)，參加CanSecWest安全大會(huì)的黑客們，卻給了所有瀏覽器廠商當(dāng)頭一棒。

在加拿大溫哥華舉行的CanSecWest是全球安全領(lǐng)域知名的大會(huì)，大會(huì)舉辦的Pwn2Own黑客懸賞賽的兩大獎(jiǎng)項(xiàng)，以每個(gè)瀏覽器漏洞5000美元、移動(dòng)設(shè)備漏洞1萬(wàn)美元的獎(jiǎng)金的黑客攻擊的形式，來(lái)促使廠商在安全領(lǐng)域的進(jìn)步。

據(jù)國(guó)外媒體報(bào)道，在Pwn2Own第一天，著名安全專家Charlie Miller僅用了10秒鐘，就攻破了運(yùn)行在蘋(píng)果Mac操作系統(tǒng)上的Safari 4瀏覽器，并以此為突破點(diǎn)，在不到兩分鐘的時(shí)間內(nèi)，取得了這臺(tái)目標(biāo)筆記本電腦的系統(tǒng)控制權(quán)。輕松贏得了5000美元和這臺(tái)被攻破的筆記本電腦。而2008年，也是Miller在短短兩分鐘內(nèi)利用Safari的漏洞，攻破預(yù)裝了Mac OS X操作系統(tǒng)的MacBook Air筆記本電腦，將其連同1萬(wàn)美元獎(jiǎng)金一起捧回了家。

在Miller之后，一個(gè)名叫Nils的參賽者在一臺(tái)預(yù)裝了Windows 7操作系統(tǒng)的索尼Vaio筆記本電腦上，攻破了剛剛發(fā)布還不到12小時(shí)的IE8瀏覽器。緊著著，他又在Mac OS X操作系統(tǒng)下相繼攻破了Safari和Firefox瀏覽器。隨后，微軟安全反映中心在12小時(shí)內(nèi)迅速對(duì)該漏洞進(jìn)行確認(rèn)，據(jù)微軟方面透露，將很快發(fā)布關(guān)于該漏洞的補(bǔ)丁。

會(huì)后，Miller表示，蘋(píng)果的Safari在Mac OS X系統(tǒng)上非常容易攻破，但在Windows上反倒沒(méi)有那么容易了。

此外，Chrome雖然安全過(guò)關(guān)，成為Pwn2Own上惟一沒(méi)有被黑客突破的瀏覽器，但Miller指出，Chrome并不是100%安全的。Miller已經(jīng)發(fā)現(xiàn)了Chrome的一個(gè)漏洞，但是“因?yàn)樵摓g覽器的沙盒功能和操作系統(tǒng)的安全措施，使得在不適用Flash或Java插件的情況下，攻破它成了一個(gè)艱巨的挑戰(zhàn)”。但同時(shí)有黑客表示，既然已經(jīng)知道漏洞在哪里，突破它只是時(shí)間的問(wèn)題。

安全意識(shí)過(guò)于薄弱

“Web正變得越來(lái)越危險(xiǎn)，而瀏覽器已經(jīng)成為安全領(lǐng)域最薄弱的環(huán)節(jié)之一了?！庇邪踩珜＜冶硎?。

根據(jù)瑞士Communications Systems Group在去年下半年發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示，使用升級(jí)了安全補(bǔ)丁的瀏覽器的Web用戶只有60%。特別是使用人數(shù)最多的IE用戶，只有47.6%的人在使用當(dāng)時(shí)最新、安全性最高的版本。

此外，安全公司Sophos數(shù)據(jù)也顯示，如果以安全補(bǔ)丁是否缺失、客戶端防火墻是否被禁用，以及安全軟件是否保持更新等要素為標(biāo)準(zhǔn)，不能完全達(dá)到這些基本安全要求的用戶數(shù)量高達(dá)81%。

“這個(gè)數(shù)字雖然高得嚇人，但卻很容易理解——普通用戶一般都只會(huì)考慮瀏覽器打開(kāi)網(wǎng)頁(yè)夠不夠快，顯示夠不夠好，沒(méi)幾個(gè)人會(huì)去考慮瀏覽器的安全問(wèn)題?！卑踩珜＜抑赋觥?/p>

而Sophos的高級(jí)安全顧問(wèn)Carole Theriault則說(shuō): “不僅是用戶，網(wǎng)站管理員的意識(shí)也必須要提高?！惫芾韱T缺乏安全意識(shí)，疏于維護(hù)、缺少對(duì)安全威脅的理解，導(dǎo)致合法網(wǎng)站被惡意病毒感染越來(lái)越多，這也是導(dǎo)致瀏覽器安全問(wèn)題嚴(yán)重的一大原因——用戶在一個(gè)安全性差的計(jì)算機(jī)上登錄一個(gè)帶有惡意代碼的網(wǎng)頁(yè)，那么這臺(tái)機(jī)器被感染的幾率必然會(huì)非常大。

“最有效的做法，當(dāng)然是確保瀏覽器和所有相關(guān)加載程序的即時(shí)更新。”Scottsdale的安全分析師Paul Henry建議說(shuō)，高版本的瀏覽器除技術(shù)上更為成熟、更為先進(jìn)外，也封堵了大部分已知漏洞。所以相對(duì)于低版本瀏覽器而言，高版本瀏覽器安全性更高些。

此外，訂閱安全補(bǔ)丁通知，一旦發(fā)現(xiàn)新補(bǔ)丁就立即安裝; 考慮關(guān)閉腳本支持，避免加載某個(gè)頁(yè)面時(shí)自動(dòng)運(yùn)行惡意腳本; 使用最新的防病毒軟件，并盡可能在不影響計(jì)算機(jī)可用性的情況下設(shè)置好防火墻等也是有效的方式。