Testy dostępnych wersji przeglądarek (również beta) przeprowadzono na platformach Windows XP Pro SP3 oraz Vista Enterprise. Celem było sprawdzenie funkcji bezpieczeństwa w każdej z nich. Dlatego też przegląd ten nie obejmuje nowych mechanizmów, niezwiązanych z bezpieczeństwem. Przeglądarki testowano z domyślnie instalowanymi przez dostawcę dodatkami (np. NoScript - popularny dodatek do Firefox, mający zwiększyć bezpieczeństwo; nie jest instalowany domyślnie i nie został uwzględniony w teście).

Bezpieczna przeglądarka, czyli jaka?

Jeżeli poszukujemy perfekcyjnie zabezpieczonej przeglądarki, to jest to trud daremny. Pojawienie się każdej nowej przeglądarki to zwykle kolejne obietnice bezpieczniejszego surfowania. Tymczasem każda z popularnych przeglądarek pełna jest łatek i niezbędnych uaktualnień. Nawet w najnowszej, Google Chrome, znaleziono już z tuzin eksploitów.

Być może najlepszym świadectwem tego, jak trudno zaprojektować bezpieczną przeglądarkę, jest to, że nawet tekstowa Lynx, która jest tak prosta, jak tylko może być przeglądarka (nie wyświetla obrazów i wideo bez programów zewnętrznych) - też już ma kilka znanych luk. Jeżeli napastnik może użyć techniki przepełnienia bufora w przeglądarce tekstowej, to czego można się spodziewać po dużo bardziej skomplikowanych przeglądarkach?

Generalnie, administratorzy muszą przyjąć założenie, że każda przeglądarka połączona z internetem może potencjalnie stanowić narzędzie wysokiego ryzyka. W środowiskach o wysokim poziomie zabezpieczeń, przeglądarki internetowe nie są dopuszczane do użytku lub uniemożliwia się im przetwarzanie zawartości z internetu. Jeżeli jednak organizacja potrzebuje możliwości przeglądania zasobów internetowych, to powinna poszukać przeglądarki z akceptowalnym poziomem bezpieczeństwa.

Jak poradziły sobie przeglądarki?

Wszystkie testowane przeglądarki zdołały powstrzymać najnowsze ataki złośliwych kodów, dostępnych podczas testów w internecie. Sporadyczne ataki typu “zero-day" mogą po cichu infekować przeglądarki przez pewien czas (wszystkie one reprezentują podobny poziom ryzyka), a ich dostawcy dość konsekwentnie w porę łatają groźne luki.

Ogólny wniosek jest taki, że w pełni połatana przeglądarka może być używana w miarę bezpiecznie. Można zmieniać przeglądarki, a ryzyko pozostanie takie samo - niemal bliskie zeru, jednak pod kategorycznym warunkiem, że przeglądarka, system operacyjny i wszelkie do nich dodatki mają komplet łatek.

Gdy jednak użytkownik końcowy uruchomi złośliwy program (np. fałszywego antywirusa), każda przeglądarka dopuści wtedy do zainfekowania systemu. Użytkownik końcowy, pracujący na Windows Vista bez podwyższonych uprawnień, może zapobiegać pojawieniu się większości infekcji malware, ale nawet on może zostać łatwo wykorzystany, jeżeli celowo "upoważni" siebie do instalowania wrogich programów.

Jak wiadomo, każda przeglądarka ma zalety i wady. Wszystkie biorące udział w testach - z wyjątkiem Chrome - dojrzewały przez lata, radząc sobie lepiej lub gorzej z wcześniejszymi atakami złośliwych kodów. Wszystkie obsługują: SSL/TSL (Secure Socket Layer/Transport Layer Security), filtry antyphishingu, blokowanie wyskakujących okienek, filtrowanie XSS (cross-site scripting), automatyczne uaktualnianie i obsługę cookies. W testach skupiono się zatem na pokazaniu różnic między nimi.