微軟的IE瀏覽器正在被異軍突起的開源瀏覽器Mozilla　Firefox挑戰著，但是在我們的測試中，沒有一個瀏覽器可以經受摧毀性攻擊。

　　 這時還不要對微軟的IE兇巴巴的。誠然，IE在過去已被證實是易受攻擊的，另外不斷的打補丁也是件令人生厭的事。 去年CERT協調中心甚至警告人們停止用IE。最近，Mozilla基金會的Firefox正在得到更多的認可，在不到100天的時間下載次數就達到250萬。但是我們針對兩種瀏覽器的測試顯示，選擇其中之一并不是件容易的事，尤其是對企業應用環境來說。IE之所以易被攻擊，部分上是由于他有更豐富的功能，從而具有更廣泛的"受攻擊面"。另一方面，Firefox獲得安全性的代價是：更少的功能和不能訪問基于Windows的Web應用程序。

　　 因此在你放棄IE之前，要權衡一下得失。一個折中的辦法是在內部使用IE而用Firefox純瀏覽Web。

　　 安全性測試

　　 我們著手的測試在于測試其安全性而非易用性。運行IE6.0的環境：操作系統帶有SP2和最新補丁的WindowsXP客戶端，一百帶有512M內存的奔四筆記本。借助于VMware作站，在同一臺機器的虛擬機上，相同的操作系統上安裝MozillaFirefox1.0.1。測試機器通過384Kbps DSL線路連到網絡上。

　　 我們同時打開兩種瀏覽器，對其進行不同的測試，如瀏覽公共的Web站點，通過MicrosoftOutlookWebAccess來查看郵件，訪問我們的ApacheWeb服務器的內部資源和管理工具，另外我們通過知名的黑客站點來查看在受攻擊的情況下瀏覽器是如何處理的。

　　 訪問常規的Web站點如CNN.com或Yahoo，得到相同的結果。兩種瀏覽器都阻止彈出窗口，并提供了不同的插件以支持諸如Macromedia Flash 和 Adobe PDF 文件。

　　 然而，關鍵不同的地方是，由于IE擁有許多Windows相關的功能如ActiveX、.net、 ActiveServerPages，而這些是Firefox所不具備的，訪問某些基于Web的應用程序對于Firefox來說是非常困難的。

　　 IE和Firefox都有工具支持對插件進行數字簽名。但是簽名并不是普遍存在的，用戶可能要接受和執行未簽名的具有潛在危險的代碼。

　　 這就是你為什么要把你的瀏覽器保護在一個防止入侵的系統中，或者安裝防病毒軟件以檢測、通知或阻攔來自于瀏覽器的惡意代碼，我們用的是F－Secure的防病毒客戶端。

　　 Firefox的基礎更好？

　　 那么Firefox的架構會使他從根本上更安全么？我們發現Firefox不是一個必定更安全的瀏覽器。他只是有更少的易被攻擊的特征。

　　 他支持更少的和復雜度低的腳本機制，所以在一個Web頁面內要寫出可以攻擊它的強大而又危險的代碼不是非常容易。

　　 Firefox不與任何特定的操作系統緊密集成一起，這樣瀏覽器沒有多少方法可以使用專屬于操作系統的功能。這意味者對探測者來說，有更少機會可以利用瀏覽器作為訪問底層操作系統的入口。

　　 同時，開源代碼的本身特點，提供了更多人對代碼評審、更快的修復以解決漏洞，當然這不是必然的。

　　 企業策略

　　 想讓你的單位完全停止使用IE是不現實的，尤其是當你的用戶必須訪問部署著豐富功能的服務器，這些功能需要通過內部網絡或公眾網絡支持。

　　 那么你可以選擇使用Firefox么？假若你只是純基于瀏覽器的環境，使用標準的腳本和插件，那么你可以這樣考慮。

　　 面對基于Web的攻擊時，Firefox會使你的環境完全安全的么？不。和其他可以選擇的瀏覽器一樣，Firefox也不是完美的，但是假若你盡可能少的使用很復雜功能，受攻擊面會大大減少，例如不使用如通過Web頁面傳輸ActiveX。

　　 假若你的網絡中包含著數千用戶，這樣的改變是非常難于執行的。另一方面，有必要比較一下成本，是附加的客戶端安全產品或者防入侵設備以確保IE安全的成本大，還是簡化、標準化你的基于瀏覽器的基礎架構的成本大。

　　 需要做什么

　　 基于瀏覽器的針對企業網絡的攻擊的風險是重大的。從風險管理的觀點來看，根據正在使用的人數，來尋找一個IE得替代者無疑是一個好的主意。但是企業環境可能不允許你刪除IE,因為你得單位可能已經利用基于IE得微軟技術創建了一套對內部資源的訪問體系。

　　 一個解決得辦法是讓Firefox來訪問外部資源，而通過IE訪問企業內部應用。政策強制工具可以有助于實現這種命令。

　　 也可以考慮通過采取瀏覽器外的安全措施來避免瀏覽器風險，如采用應用防火墻，入侵檢測和防護系統，策略執行系統以確�？蛻糁辉L問可以信賴的站點。

　　 常見攻擊情況

　　 針對瀏覽器的攻擊一般分為三類：回合一：針對正被瀏覽器器處理的內容的協議攻擊；回合二：針對運行在瀏覽器環境內得活動腳步語言的攻擊；回合三：針對通過瀏覽器傳輸但是被插件或組件處理的數據的攻擊，如提供圖形顯示服務得動態鏈接庫。

　　 回合一：Internet Explorer具有微弱優勢。

　　 通過他們直接處理的站點內容攻擊，IE 和Firefox都存在潛在危險。在這個方面IE表現略好，因為微軟為了應付針對他的黑客活動已經投入了如此多的工作來加強他的瀏覽器安全。但是從原理上來說，因為他們都處理本質上相同的HTML數據流，所以兩種瀏覽器都可能遭受這種方式攻擊。

　　 回合 2：Firefox具有優勢。

　　 在第二類中，IE 提供ActiveX, JavaScript和許多其他機制來執行通過Web傳輸過來的代碼，如Visual Basic script 和 Active Server Page 和.Net 組件。因為有更多的方式來編寫通過瀏覽器傳輸的程序，Explorer更易被這種方式攻擊。目前這種完全在微軟Web環境工作的復雜的功能正越來越少。

　　 回合3：都沒有優勢。

　　 兩種瀏覽器都支持獨立于瀏覽器的插件，這對攻擊來講是脆弱的。最近得一個例子是RealOne插件的漏洞。缺陷被發現在Explorer中，而問題在于插件中，沒有技術理由可以認為這種問題某一天不會發生在Firefox身上。