不(bu)過(guo)前提是BSI只對Mozilla Firefox68（ESR）、Google Chrome76、Microsoft Internet Explorer11和(he)Microsoft Edge 44進行(xing)了測試，并不(bu)包括 Safari、Brave、Opera 與 Vivaldi等瀏覽器。

此次測(ce)(ce)試是使用(yong)BSI于2019年(nian)9月發布的(de)(de)“現代安全瀏覽器”指南中詳述(shu)的(de)(de)規則進行的(de)(de)。BSI通(tong)常(chang)根據該指南就可(ke)以(yi)安全使用(yong)哪些瀏覽器向政府機構和私營公司提供(gong)建議。此次指南更新(xin)完善了現代瀏覽器新(xin)增和改(gai)進的(de)(de)安全措施(shi)與機制，例如HSTS、SRI、CSP 2.0、遙測(ce)(ce)處理和改(gai)進的(de)(de)證書(shu)處理機制。

根據BSI的新(xin)指南，被認為安全的現(xian)代 Web 瀏覽器必(bi)須(xu)滿足以下最低要求：

必須支持TLS

必須具有(you)受信任證(zheng)書的(de)列表

必須(xu)支持擴展(zhan)驗證(zheng)(zheng)（EV）證(zheng)(zheng)書(shu)

必須(xu)根據(ju)證書(shu)吊銷列表（CRL）或(huo)在線證書(shu)狀態協議（OCSP）驗證加(jia)載的證書(shu)

瀏覽器必須使用圖標或顏色高亮來顯示通信何(he)時加密到遠程服務器或采用明文(wen)形式

僅(jin)在經過(guo)特定用(yong)戶的批準后，才允(yun)許連接到使用(yong)過(guo)期證書運行的遠程網(wang)站

必須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)

必須支持 Same Origin Policy (SOP)

必須(xu)支(zhi)持 Content Security Policy (CSP) 2.0

必須(xu)支(zhi)持子資源(yuan)完整性（SRI）

必須支持自動更新

必須為關鍵的瀏覽器組件(jian)和擴展(zhan)支(zhi)持(chi)單獨的更新機制

必須對瀏覽(lan)器(qi)更新進(jin)行簽(qian)名和(he)驗證

瀏(liu)覽器的密碼(ma)管理器必(bi)須(xu)以加密形式存(cun)儲密碼(ma)

必(bi)須僅在(zai)用戶輸(shu)入(ru)主密碼(ma)之后允許訪問瀏覽(lan)器的內(nei)置(zhi)密碼(ma)庫

用戶必(bi)須能夠從瀏覽器(qi)的(de)密碼(ma)管理器(qi)中刪除密碼(ma)

用戶(hu)必(bi)須能夠阻止或(huo)刪除(chu) cookie 文(wen)件

用戶(hu)必(bi)須(xu)能夠阻止或(huo)刪(shan)除自動完成(cheng)歷史記錄(lu)

用戶必須能(neng)夠阻止或刪除瀏覽歷史記錄

組織管理員必須能(neng)夠(gou)配置(zhi)或阻止瀏覽器(qi)發送遙測/使(shi)用(yong)數據(ju)

瀏覽(lan)器必須支持一種機制來檢查有害(hai)內容/URL

瀏(liu)覽器(qi)應(ying)允許(xu)組織運行本地存儲的 URL 黑名單(dan)

必須支持一些設置(zhi)，用(yong)(yong)戶可以在其中啟(qi)用(yong)(yong)/禁用(yong)(yong)插件(jian)、擴(kuo)展或腳本

瀏覽器必(bi)須能夠導(dao)入集中創建(jian)的配置(zhi)設(she)置(zhi)，非常適合大(da)規(gui)模企業部(bu)署(shu)

必須允許(xu)管理員禁用基于云的配(pei)置文件同步(bu)功(gong)能

必須(xu)在初(chu)始化后以最小(xiao)的操(cao)(cao)作(zuo)系(xi)統權(quan)限運(yun)行在操(cao)(cao)作(zuo)系(xi)統中(zhong)

必須支持沙箱

所有(you)瀏覽器(qi)組件(jian)必(bi)須彼此隔(ge)(ge)離(li)(li)(li)，并且與(yu)操作系統(tong)隔(ge)(ge)離(li)(li)(li)。隔(ge)(ge)離(li)(li)(li)組件(jian)之間的(de)通(tong)信只能通(tong)過定義的(de)接口進行(xing)，不能直接訪問隔(ge)(ge)離(li)(li)(li)組件(jian)的(de)資源

網頁需要彼此隔(ge)離，最好以獨立(li)進程(cheng)的形式，還要允許線程(cheng)級隔(ge)離

必須使用支持堆棧(zhan)和堆內(nei)存保護的編(bian)程語言對瀏覽器進行編(bian)碼

瀏覽器供(gong)應商(shang)必須在公開披露安(an)(an)(an)全漏洞后不(bu)超(chao)過21天提供(gong)安(an)(an)(an)全更新(xin)。如果主瀏覽器供(gong)應商(shang)未能提供(gong)安(an)(an)(an)全更新(xin)，則組(zu)織必須移至新(xin)的瀏覽器

瀏覽器(qi)必須使(shi)用OS內存保護，例(li)如地(di)址空間布局隨機化（ASLR）或數據執行保護（DEP）

組織管(guan)理員必須能夠(gou)管(guan)理或阻止(zhi)未經批準的附(fu)件/擴展(zhan)的安裝

根據 BSI 的說(shuo)法，Firefox 是唯一支持以上所有要求的瀏(liu)覽器(qi)，其(qi)它瀏(liu)覽器(qi)測試不(bu)通(tong)過的原(yuan)因包括(kuo)：

缺(que)少對主密碼(ma)機制的支(zhi)持（Chrome、IE、Edge）

沒(mei)有內置的(de)更新機制（IE）

沒有阻止遙(yao)測收(shou)集的選項（Chrome、IE、Edge）

不支(zhi)持 SOP（IE）

不(bu)支持 CSP（IE）

不支(zhi)持(chi) SRI（IE）

不(bu)支持瀏覽器配置(zhi)(zhi)文件(jian)/不(bu)同的配置(zhi)(zhi)（IE、Edge）

缺乏組織透明度（Chrome、IE、Edge）