如何通過PC FLank的瀏覽器測試？

PC Flank是一個提供了很多線上測試工具的安全網站
它能夠幫助你檢查防火牆有沒有正常工作
其中它還有一項瀏覽器測試（Browser Test）



只是大部分的瀏覽器在這一關都會失敗




到底要怎樣才可以過關呢？我測試了數種瀏覽器
分別為Firefox 3.0.9pre with Stealther、Shiretoko 3.5、Safari 4.0、Chromium
以及微軟IE 8，並分別打開它們的隱私瀏覽功能

Safari 4：



IE 8：



Firefox 3.09：
Firefox 3.X本身不提供隱私瀏覽功能
請參閱以前我所推薦的Stealther addons


Shiretoko 3.5：



Chromium：



最後的結果其實還蠻意外的，唯一能夠通過測試的就只有Firefox 3.0.9pre with Stealther
這個組合而以，其它瀏覽器全軍覆沒．．





不過正常情況下PC Flank的這個測試是沒有意義的
所以你的瀏覽器無法通過測試也不見得就真的不安全
唯一直得一提的是Stealther這個擴充套件是真的能防堵track cookie
但這個安全套件很有可能因為功能與Firefox 3.5重複的關係而不再提供更新了 (繼續閱讀...)

駭客大會上MAC OS再度讓人失望！

Pwn2Own駭客大會上（３．１８）一位名叫Charlie Miller的參賽選手
他僅僅只花費十秒的時間，就成功入侵了MAC OS！
並讓MAC OS成為本次大會上率先被成功入侵的第一個系統！
而Windows上的IE 8、Firefox、Safari也在同一天被另一名德國選手Nils給攻破！



Windows上唯一全身而退的只有Google Chrome瀏覽器！
Miller賽後接受ZDNET的訪問說到MAC/Safari的漏洞他之所以能夠在短時間內突破
那是因為他很早之前便發現了該漏洞，發現漏洞後並沒有做任何通報，也沒有公佈該漏洞
不公佈漏洞，讓他在此次駭客大會上拿到了5000美元的獎金，也為了他的公司做了一個很好的宣傳

但在他的眼哩，另一個發現Windows/IE漏洞的Nils，Miller認為Nils所發現的漏洞價值
遠比他突破MAC OS系統所得到的5000美元獎金還要高出十倍！

Miller接著被問到，為什麼不選擇Windows平台而卻選擇MAC作為攻擊對象時
他說"因為MAC OS上所發現的漏洞非常容易利用"！
用白話一點方式來講，Miller的意思其實是說MAC OS上的垃圾漏洞（很難被利用的漏洞）
相對於Windows來說低了很多！

而且Windows系統上有所謂的反漏洞攻擊（Anti Exploit），在MAC OS上卻沒有類似的功能
Miller所謂的Anti Exploit，其實就是指Windows系統上的"資料執行防止"（DEP）
從訪談中可以透露出在Miller眼裡，Windows其實是個比MAC OS還要來的安全的系統



而在網路瀏覽器的部分，Miller說道同樣的Firefox瀏覽器，在MAC OS系統下
就是要來的比Windows系統上來的好利用多了，在他的經驗裡，MAC是一個很容易被入侵的平台！

而Google Chrome也是本次駭客大會上唯一一個全身而退的網路瀏覽器
Miller說Chrome的漏洞很難利用，因為Chrome有自己的沙盤（SandBox）技術做後盾
如果你得到一個Chrome的漏洞，你還必須還要再有一個Chrome沙盤的漏洞
藉由沙盤的漏洞讓瀏覽器本身的漏洞可以穿出沙盤之外！不過Miller說這種同時存在漏洞的可能性不高！

雖然目前Chrome在漏洞的數量上，不見得比較少
但由於它自帶沙盤的關係，使得漏洞的被利用率大大的降低！
所以就目前來說，瀏覽器加上沙盤，是另一個不錯的選擇！


而所謂的沙盤，這裡我用SandBoxie官網提供的說明圖做個簡單的說明
在沒有沙盤的保護下，瀏覽器可以對系統做任何的修改
但只要你有了沙盤，沙盤便會對位於沙盤內的應用程式，將它們對系統的修改
重新定像到一個空白區域，而不是直接就將修改寫入硬碟之中
此舉它有一個好處！就是你不滿意的部分你只需要清空沙盤內的資料
那一切又回覆到最初的那個原始狀態！


Chrome剛推出時，Google特別強調的沙盤技術
在這次的駭客大會上證實確實是一個有用的功能
如果你對Chrome的沙盤技術感興趣
可以順便看我去年所寫關於Chrome沙盤技術抄襲的事件！ (繼續閱讀...)

瀏覽器三強JavaScript性能大車拼！

很久沒有更新blog了，這段時間我過的不太好
最近因為流行性感冒肆虐，所以我在家裡休養了一段時間
今天心血來潮，做了這次的測試，有別於之前我所做的那些測試
之前的測試算是大雜燴，把我想得到的瀏覽器全部都抓來測試了一番
但那個測試只使用單一的測試工具，也就是SunSpider JavaScript Benchmark
這個算是時代比較悠久的測試工具了，這次新的測試我只挑選比較備受矚目的三款瀏覽器

它們分別為才剛推出沒幾天的Safari 4.0beta、Chromium 2.0、Firefox 3.1beta
這三款均為目前JS render性能最強大的瀏覽器！




測試使用的測試網站分別為Javascript speed tests、V8 Benchmark Suite、SunSpider JavaScript Benchmark、Dromaeo JavaScript performance test suite、JavaScript Preformance Test

測試平台：

C2D E6300@3G
2Giga RAM
Windows XP SP3 32bit
FireFox 3.1b3pre
Chromium 2.0.167.0 build10297
Ssafari 4.0 build528.16

測試時由於Javascript speed tests每一次測試的結果誤差相當大，所以我每一款瀏覽器
均測試三次，然後取成績最好的那一次作為本次的成績登入



測試結果：
















這幾個測試工具，比較新也比較符合時代潮流的就屬V8 Benchmark Suite與Dromaeo JavaScript performance test suite這兩個
這裡我附上Dromaeo JavaScript performance test suite的詳細測試結果，讓大家自己測試時可以做個比較

最後我就不多做說明或下結論，結果誰好誰壞大家都可以一目了然
畢竟目前只有極少數的網站才會需要如此強勁的JS render engine (繼續閱讀...)

歐盟可能強迫微軟在Windows內預裝多種網頁瀏覽器

延續之前的話題，歐盟正在評估強迫微軟在Windows中內建其他作業系統的可能
未來在歐盟會員國內上市的Windows很可能會內建包括Firefox、Safari、Chrome、Opera等的瀏覽器



歐盟認為，預裝IE瀏覽器的Windows危害到了其它瀏覽器的生存
所以可能會迫使微軟未來在Windows內預裝其它第三方瀏覽器
針對這個結果，微軟有兩個月的時間可以替自己辯護！

如果未來真的這麼做了，可以讓一些只會說："沒有瀏覽器我怎麼上網下載其它瀏覽器"的人閉嘴
因為微軟老是喜歡把IE歸類為"系統程式"而不是"應用程式"
因為如果IE屬於系統程式，就會成為Windows不可分割的一個部分，也因為這點
讓IE跟Windows密不可分！也無法輕易的將其分割，但是如果是預裝其它瀏覽器
就不會有這個問題，使用者可以自行決定自己的預設瀏覽器
也不要再去相信某些不負責人所發出的："沒有瀏覽器就無法下載其它瀏覽器！"這樣的荒謬言論！

因為事實上我們沒有瀏覽器同樣可以上網，例如用Telnet或者是wget這類的工具
條條大路通羅馬！"瀏覽器的取得"不見只能透過"瀏覽器來下載"
所以希望微軟基本教義派可以同情一下多年來被微軟權益侵害的這些廠商
不要只是為了反對而反對，這樣對事情不但沒有幫助，也只會越幫越忙！ (繼續閱讀...)

WebKit成為第一款通過Acid3的排版引擎

說首個其實並不正確因為早在半年前
WebKit就已經通過了Acid3的測試
跟Opera的Presto引擎在兩天之內先後取得滿分的成績

但是那些畢竟是開發版，並不適合用在日常上的應用，也沒有對外開放
一直到最近，WebKit.org發佈的Nightly Builds r36882
終於可以讓一般人也能使用能夠真正通過Acid3的排版引擎！
所以它是首個"民用"能夠通過Acid3測試的排版引擎





Nightly Builds的安裝方法：

首先根據你的系統下載Nightly Builds，然後在Safari目錄下新建一個資料夾
再將Nightly Builds解壓縮到你剛剛新建的那個資料夾
然後執行run-nightly-webkit.cmd（Windows系統）
這樣就完成你的Nightly Builds的安裝，接下來你可以試試看
Acid3成績是如何！ (繼續閱讀...)

多款瀏覽器爆出超高危漏洞！！

安全研究人員Jeremiah Grossman與Robert Hansen發現了一個重大安全性問題
這個問題幾乎影響了這個世界上所有的網頁瀏覽器！

包括最新的Safari 4、IE8、Firefox 3.1等都有這個問題！
而且這個問題非常嚴重！嚴重到不是短時間就可以或是就知道怎麼改善的！

這個漏洞其實存在已久，問題是由於瀏覽器運作原理中存在缺陷
使得有心人士可以在惡意網站中於用戶不知情的情況下進行任意的網路連結
由於這個缺陷不是由Script造成，所以關閉JS並沒有起到防範的作用．．
除非你使用文字型的瀏覽器，才可以避免被這樣的手法攻擊！

甚至連Adobe也都受到這個漏洞的威脅！
這個問題不是那麼好修正，目前沒有關於這個漏洞的任何修補行程上的資料 (繼續閱讀...)

次世代瀏覽器誰比較省資源？

剛剛做了一個簡單的瀏覽器資源消耗測試
比較了Safari 4.0、Opera 9.60、Firefox 3.0.2、IE8 Beta2以及Chromium開啟網頁的資源消耗量

測試硬體使用intel E6300@3G跟2G RAM
測試方式為每個受測瀏覽器同時開啟10個NBA官方網站
然後使用Chromium內的Memory比較功能統計的結果來作為這次測試的最終結果
所有的NBA網站均採用TAB的方式，而不是"New Window"的方式開啟！
受測瀏覽器中除了Firefox的成績可能會對它不太公平外（我裝了超過30個擴充套件）
其它的瀏覽器均無任何修改！


首先這張是Chromium的統計結果截圖



成績圖表：



資源佔用最高的是Chromium居次的是IE8
成績表現最好的是Opera以及Safari！
對於這次的結果其實並不意外，由於IE8跟Chromium使用了新的設計
因為強調Web APP的應用，他們加強了瀏覽器的安全性以及穩定性
在以往的瀏覽器對於分頁的處裡是採用一種稱為one Process for Everything的方式
意思就是一個進程處裡所有分頁裡的JS engine還有解析HTML等等的工作
這種做法的優點就是瀏覽器本身會比較省系統資源，理論上速度也會比較快！
但是這種傳統式的做法有個很大的缺點！由於所有的物件全部都是由單一進程處理
如果瀏覽器的JS engine或者是其中一個分頁因為Bug的關係
姜導致其它已經開啟的分頁遭到強制關閉！

現在網路瀏覽器已經進入了一個新的時代，未來會有越來越多Web APP出現
所以現在比較新的瀏覽器都會採用one Process Per Tab這種做法
意思就是說你眼睛所看到的每一個分頁全部都是一個單獨的進程
如果你因為某些原因導致某個你正在操作的分頁崩潰，你只需要重新啟動這個剛崩潰的分頁
而其它已經開啟的分頁則不會受到影響，依然可以繼續使用

但是這種方式的缺點就是會消耗更多的資源，因為每一個分頁都有自己的JS engine
也就是每個分頁之間的進程所使用的資源全部都是各自獨立！
不會說A進程跟B進程共用JS engine，C進程又跟B進程共用網路連結的組件
所以從理論上來看這種做法是維持了安全以及穩定，但是要付出犧牲一些性能的代價！ (繼續閱讀...)

FireFox 3的記憶體使用效率確實很優秀！

還沒有擁抱FireFox 3嗎？

FireFox 3正式推出已經一個星期了，相較於FireFox 2來說
排版性能增加，另一個主打的特色就是佔用的資源非常少
下面這個測試是由一個屬名為"Sam Allen"所做的測試
Sam Allen使用了FireFox 3,Sarfari,IE 8,Opera,Flock 1.2(基於FireFox 2)來測試
並以三秒為一個單位，記錄了三個鍾頭內的記憶體佔用情形
最後Sam Allen寫道：

Safari 3.1的記憶體管理非常差勁，而且似乎是故意讓Safari在Win平台上表現很差！

FireFox 3是所有受測瀏覽器裡佔用最少記憶體的瀏覽器，它幾乎都保持在一個很低的使用率上！

Flock的表現還可以，使用的版本並沒有安裝多餘的擴充套件，一般使用的情況下記憶體波伏還算穩定

Opera的表現與FireFox 2差不多，但不如FireFox平穩，而且Kestrel引擎也不夠資格稱為革命性產品！

IE還在測試中，未來還會有很多次的升級，短時間使用應該還是穩定的

(繼續閱讀...)

MS希望Windows用戶不要使用Sarfari瀏覽器！

微軟說到，由於Sarfari瀏覽器存在了一個高為漏洞，使用者在瀏覽了問題網站後
會自動執行相對應的攻擊代碼，此舉可能會讓瀏覽器字型下載惡意軟體！

微軟希望用戶暫時不要使用Sarfari瀏覽器！
目前已經有一位資安研究專家Nitesh Dhanjani發佈了部份攻擊代碼，並說明此攻擊可能穿越SandBox！ (繼續閱讀...)

數款瀏覽器效能以及排版測試

今天針對數款瀏覽器，我做了兩個簡單的測試
來反應速度，以及排版引擎的優劣

測試平台：
C2D E6300@3G
GigaByte 965P-DS3
創見 D9GMH 1GX2 5-5-5-15
WD740/WD3200YS
Nvidia 7950GT
WindowsXP SP2


受測軟體：
Internet Explorer 6
FireFox 2.04 in windows
FireFox 2.04 in ubuntu
Safari 3.01beta
Netscape Navigator 9.01b1
Opera 9.21

測試方法：
效率的測試使用SlickSpeed來測試CSS 框架的性能
所有瀏覽器皆測試三次然後取平均值為最後統計成績,測試時間為07.6.15 13:20~14:00
排版正確性採用acid2 綜合測試來體現引擎在CSS,HTML,PNG等標準的綜合測試


效能測試結果統計(low is better)：
Opera 48 851 26 82 581 29
Safari 73 486 102 89 836 157
FireFox 2.04 in windows 80 2130 85 466 2612 177
Navigator 78 2241 70 522 3074 185
FireFox 2.04 in ubuntu 146 2735 136 657 3485 254
Internet Explorer 1008 1974 792 526 4262 427


圖形測試結果：

Safari



Opera



Navigator



FireFox



Internet Explorer



結論：

效率最好的依然還是Opera，不過Safari 也夠快了，後市看漲應該可以搶到不少原Opera 用戶
此次測試中沒有加入IE 7.0，算是惟一的遺珠之憾，不過就我所知，IE 7.0的表現也不是很好 (繼續閱讀...)