上周,在 Google 宣布 Chrome 结束 Beta 期之前,Google 发表了一份浏览器安全手册,这份面向 Web 开发者的文档讲述了各大主流 Web 浏览器的安全功能,并对 IE6, IE7, Firefox2, Firefox3, Safari, Opera, Chrome 以及 Andriod 内嵌浏览器的安全性能做了对比。文档基于 Creative Commons 3.0 license。
该手册的作者 Michal Zalewski 在文中表示,对浏览器特性的不了解是导致各种安全问题的根源,该手册希望为 Web 世界提供一份关于浏览器安全问题的全面参考。
浏览器安全是多年来持续的问题,也是上周 Add-on conference 大会的 browser wars panel 单元的首要话题。今年初,Robert Hansen 与 Jeremiah Grossman 发现了一种叫做 clickjacking 的攻击,攻击者可以欺骗用户点击他们设下的陷阱,Computerworld 对此有过很详细的讨论,他们有一个关于 clickjacking 的 FAQ:
简单说,clickjacking 让攻击者在一个合法的网站的合法内容后面隐藏了恶意代码,就像劫匪劫持了车辆那样。
手册分为三个部分:
1. Web 浏览器的基本概念,现代浏览器的核心标准与技术,以及它们的安全属性。
2. 标准浏览器安全功能,安全机制与限制
3. 实验性与旧的安全机制,讲述那些要么已经弃用,要么还未来得及用的安全机制。
Google 的浏览器安全手册访问地址:已失效