吳明宜
一項最新研究顯示,Google 瀏覽器 Chrome 自動化背景更新的機制,使它比競爭產品提供更強大的安全性。
這項由 Google 瑞士分公司 Thomas Duebenforfer 及瑞士聯邦技術學院教授 Stefan Frei 合作的研究,當然立即引發不公的爭議。
當然 Google 並非唯一以數字推銷產品的金主,因此雖然有 Google 工程師參與,這項研究的結論應不致於立即被推翻。
這項研究檢視了 Apple 、 Google 、微軟、 Mozilla 及 Opera 更新修補程式的策略。當然更新次數相當程度代表瀏覽器的安全性。雖然修補程式無法阻擋每一項風險,但只要使用最新版瀏覽器,其中的軟體弱點造成的危害即可大幅減少。
不過根據 Google 2008 年中的調查,造訪 Google 的網路使用者 45.2% 都未使用最更新版瀏覽器。
在本研究中,Duebendorfer 和 Frei 研究了以下瀏覽器業者使用的更新機制:
- Google Chrome 每五小時自動更新,不會詢問使用者
- Mozilla Firefox 提供以下選擇:每次 session 就下載、每次使用、從不更新、或自動,不過 Mozilla 都建議使用者儘速更新。
- Apple Safari 利用 Apple 軟體更新系統讓使用者每天、每週及每個月檢查,或從不更新。 Apple 也有能力自動下載「重要」更新程式。
- Opera 則是每週更新,並在發佈更新時通知使用者。不過目前還在測試的最新版 v10 則會自動更新。
- 微軟 Internet Explorer 透過 Windows 中的自動更新系統獲取更新版。它包含以下選擇:1. 自動下載、安裝 2. 下動下載但依使用者命令安裝 3. 自動通知,但不下載也不安裝 4. 關閉自動機制。在公司內部則由 IT 決定更新政策。
Google Chrome 以 97% 使用者使用最新版奪冠。 Mozilla Firefox 以 85% 次之,Apple Safari 居第三名,最新版有 53% 用戶使用。最後是 Opera,由於需求使用者手動下載最新版只有 24% 用戶使用。
本次研究並未包含微軟 IE,因為它在傳送給 Web 伺服器的使用者資訊串中只提供主要版本數,導致無法長期追蹤修補程式。
「常見理由是為了防止資訊外洩,讓駭客無法針對使用中的瀏覽器進行攻擊,但我們看過許多「瀏覽即下載 (Drive-by Download)」一次發動不同攻擊,因此我們很懷疑這種刻意隱去資料是不是真能發揮保護作用。」研究人員觀察。
雖然有人批評 Duebendorfer 的目的是為了幫 Google Chrome 抬轎,但其實這項研究還是有良善動機。該研究鼓勵瀏覽器業者採用 Google 背景更新機制,它以開原碼專案 Omaha 釋出原始程式碼。 Google 同時於週二發佈新版 Chrome 修補二項安全弱點。