9月3日,谷歌浏览器横空出世,让浏览器领域掀起不小的波澜,尽管此前谷歌浏览器在网上已经传了很长时间,但是当它真的到来时,仍然让用户欣喜若狂,这不但因为谷歌公司强大的实力基础,更因为此前网上宣称的谷歌浏览器的种种特性:浏览速度快、占用资源少、新奇功能一大堆……此外,谷歌浏览器在安全方面的功能也不容小觑,比如增加了当前流行的隐身模式,而且在反恶意网站方面颇有建树,看到这些,大家是不是心动了,下面我们就一同关注谷歌浏览器在安全方面的表现,至于其他功能,有兴趣的朋友自己去琢磨吧!
一、谷歌浏览器独特的隐身模式
与通常的软件不同,谷歌浏览器是在线安装的方式,简单地说,就是没有提供安装文件的下载,而是提供了一个安装程序下载器的下载地址,也就是官方网站www.google.com/chrome,进入此网站后,点击“下载谷歌浏览器”即可获取下载器,只有474KB,然后按照提示同意协议、在线下载文件、安装,完成以上操作后,即可让谷歌浏览器顺利入驻你的电脑,具体操作不再多说。
图1 进入Google浏览器网站
图2 在线安装谷歌浏览器
图3 谷歌浏览器主界面
在安装过程中,我们看不到谷歌浏览器的安全设置选项,只有在运行中才能得以体现。谷歌浏览器此次的一大特色功能就是浏览器的隐身模式,这与IE8的InPrivate Browsing“私人浏览”模式差不多,可以避免IE存储你的浏览会话的数据信息。用户在谷歌浏览器中启用隐身模式时,当用户关闭改浏览窗口后,Google chrome将自动清除隐身状态时所打开的网页的浏览历史记录,以及所产生的所有新的 Cookie,以全面保护用户的隐私。设置方法如下:
点击地址栏右侧的“网页”图标下的“新隐身窗口”,或者直接使用快捷键“ctrl+shift+N”来进入隐身模式。
图4 选择“新隐身窗口”
图5 进入隐身模式
进入隐身模式后,会提示“您已经隐身了”,并给出了几类不属于隐身模式保护的范围,比如恶意搜集信息的网站或者软件、间谍程序,从这里,我们也不难看出,隐身模式其实主要还是强调个人隐私、历史记录一类的东西,起到的作用仅仅是基本保护,所以大家不能对这一功能寄予太高的希望。
二、恶意网站屏蔽与拦截
如今,网上的恶意网页和恶意网站越来愈多,很多用户即时只打开一些常规的网站,也常常导致IE被修改、注册表被篡改、浏览器崩溃等情况,就其原因,就是恶意网站在作怪。谷歌浏览器专门针对恶意网站的屏蔽和拦截做了较为可靠的设计,在谷歌浏览器中,当用户要访问的网站被怀疑存在网络欺诈、恶意软件或其他不安全因素时,浏览器会自动拦截并向用户发出警告,当然你也可以忽略该警告继续浏览该网页。为此,我们选取了一些恶意网站进行测试:
实际测试结果表明,谷歌浏览器在恶意网站的判定上还做得不够,对于一些老的恶意网站,谷歌浏览器可以识别,而一些新的、论坛上刚刚反映出的恶意网站,谷歌浏览器还不能识别。因此,大家在使用这一功能时,还需要结合自己的判断能力去综合识别,不能一味依赖软件。
图6 屏蔽恶意网站
图7 有的恶意网站不能屏蔽,只是提示不能访问
值得一提的是,当用户访问经过SSL加密的网站时,Google浏览器的地址栏会自动改变颜色并在最后显示安全锁的标志,点击安全锁则会显示相关安全信息,比如使用的什么加密方式,是否经过身份认证等,这为网站的安全把控提供了一定的依据。
图8 加密网站的安全锁
三、谷歌浏览器的“崩溃控制”
浏览器在使用过程中,遇到恶意网页或者由于浏览器自身的问题,偶尔会出现崩溃的情况,而通常的浏览器崩溃后,打开的网页将全部自动关闭,然后可能浏览器会重启,你前面查看的页面统统付诸东流,有时也是不小的损失,至少会浪费时间重新打开。而谷歌浏览器在崩溃控制上则完全不同,用户所使用的各个标签页都在浏览器中独立运行,因此,即使某一个应用程序崩溃,也不会影响到其他任何进程,这是一个非常有用的功能。谷歌浏览器是通过一个独特的任务管理器来实现这一崩溃控制机理的。
在Google浏览器中自带有一个特殊的任务管理器,用户可以依次打开“网页→开发人员→任务管理器”来启动浏览器中的这一任务管理器,在Google chrome任务管理器中可以监控浏览器中中每个标签页的内存使用量、CPU 使用率以及网络流量。
图9 打开浏览器的任务管理器
图10 可以详细查看某个标签页的内存等情况
图11 点击“傻瓜统计信息”可以查看内存和进程情况
用户可以强行关闭行为不正常的标签页或应用程序,只要选择具体的项目,然后点击“结束进程”即可,结束进程后不影响其他标签页的正常浏览,而被结束的标签页则显示“崩溃啦”,可以重新载入。
图12 被结束的标签页
从这里我们也再次印证了谷歌浏览器关于各个标签页相互独立的说法,这一思路确实非常新颖实用。
四、浏览器弹窗拦截能力测试
谷歌浏览器在安全方面的功能主要就是上面几项,下面我们借助一些第三方平台测试一些到期其安全性如何,这里我们将之与微软最新的IE8 beta 2进行对比,首先我们看看浏览器弹窗拦截能力测试情况。我们借助一个专门的弹窗测试网点来进行测试(http://www.cnproxy.com/popkillertest/index.html),该网站能够模拟出目前网络上最常见的27种广告进行测试。下面我们看看实际的测试结果。
1.谷歌浏览器
谷歌浏览器只有在7、12、13、14项没有通过测试:
图13
图14
图15
图16
2.IE8 beta2
IE8 beta2在12、15、16、27四项没有通过测试:
图17
图18
图19
从测试果来看,谷歌浏览器在拦截弹窗方面的整体表现还是相当不错,与IE8表现大致相当,而之前的IE7只在12、16、22这3项测试中没有通过,不能拦截弹出窗口,从这个角度来看处于测试版的谷歌浏览器和IE8都还有很大的提升空间。此外,根据测试网站的说法,其中11、12、13、16、17、21、22、25、26、27这几项测试相对较难,网站方也表示很多工具都不能通过测试。实测结果也表明了这个问题,浏览器整体都还有提升的空间。
五、浏览器稳定性测试
浏览器的稳定性直接关系到用户的使用体验,同时也反应了浏览器的安全,试想,浏览器总出错、崩溃,造成信息泄露,还有什么安全可言呢?测试这浏览器的稳定性能,我们借助了第三方平台http://www.sspred.com/ahmore/ajax.htm ,该站点上提供的“JS XMLHttp 同步请求测试”。当请求被处理时, 普通浏览器会进入冻结状态。虽然绝大多数此类响应都非常迅速, 并不会造成麻烦, 但是如果请求和/或文件传输过程出现故障, 用户的浏览器就可能无法响应多达数分钟, 直至请求超时。通过实测证明,这两款浏览器都能较好的应对。
图20
六、浏览器漏洞测试
很多黑客攻击都是针对浏览器漏洞发起的,进行浏览器漏洞测试,我们借助第三方平台http://www.scanit.be/bcheck,ScanIT网站通过模仿22类攻击模式来检测浏览器是否存在有可被利用的漏洞,该网站提供了15项安全测试项目,比如各类溢出攻击、ActiveX控件的攻击等。进入网站后,网站会检测到你的系统和所使用浏览器的简单信息,如:浏览器的版本、操作平台等。接下来,需要选择测试模式:Only test for bugs specific to my type of browser ,选择改项则仅检测自己所使用的浏览器漏洞,Run all available tests则进行全部浏览器漏洞检查,包括15个检测项目。通常选择此项即可。
图22 谷歌浏览器漏洞测试
图23 IE8漏洞测试
图24 谷歌测试结果,全部通过
图25 IE测试结果,全部通过
从这一项测试来看,谷歌浏览器和IE8 难分伯仲,根绝笔者以前的测试,之前IE7同样有着不俗的表现,15项测试全部通过,而IE6最终测试结果显示,有两项测试没有通过。看来,最新的浏览器在这方面的功能确实有所增强。
七、评测总结
从以上几个谷歌浏览器的安全新功能来看,隐身模式、独特的崩溃控制以及恶意网站屏蔽等功能等走在了同类浏览器的前列,从是测试看,虽然没有比IE 8浏览器有着明显的优势,但是我们也几乎没有看到其安全方面的劣势,这对于一个刚处于测试版的产品来说,确实很不容易了。此外,据国外网站消息报道,一位名为Aviv Raff的安全系统专家称,已经发现了chrome的安全漏洞,他表示,这个chrome浏览器有一个弱点,很容易让黑客利用其在用户的PC上执行任意的操作。其原因是有些欠缺经验的使用者,可能因点击某个有问题的链接而引发这一安全问题。“点击某个有问题的链接”,难道就是屏蔽恶意网站功能说引起的,这一说法目前还没有得到很权威的证实,但是,可以肯定的是,这并不是一个致命的漏洞。因此,综合谷歌浏览器在安全方面的表现来看,我们认为是值得信赖的,用户可以较为放心地使用。