根据TechWeb.com的消息,华盛顿大学(University of Washington)的两位教授和他们的学生使用网站收集工具,在网路上检查恶意网站和间谍软体,亨利-莱维教授(Henry Levy)说:“我们不能说Firefox浏览器比较安全,但是我们可以说使用Firefox浏览器,你会有比较安全的上网体验。”
分别在去年5月和10月时,莱维教授和同事史蒂芬-格瑞伯(Steven Gribble)使用网站收集工具,检查了45000个网站,找出网站上可以执行的软体,并且同时使用没有添加补丁(patch、修补缺陷的程式)的IE浏览器和Firefox浏览器进行测试。恶意网站往往使用一些欺骗人的对话框要求你点选,就在你点选的时候,骇客软体已经不知不觉的进入了你的电脑,这种手法又称为“行驶中开枪杀人式下载(drive-by downloads)”。
莱维教授说:“我们不能说IE浏览器比较不安全,因为测试用的两个浏览器都没加上补丁,我们没有加上补丁的目的是为了统计网路上的间谍软体数量,这样才能找到更多的间谍软体。”
莱维教授、格瑞伯教授和他们的学生亚历山大-莫斯考克(Alexander Moshchuk)
坦雅-布拉金(Tanya Bragin)进行一项测试,他们设定两种IE浏览器,一种浏览器完全接受下载对话框的要求,另一个浏览器完全拒绝下载对话框的要求,并且观查间谍软体入侵的数量。
在他们2005年10月的一项实验中发现,如果完全接受下载对话框的要求,受到间谍软体感染的机会达到百分之1.6,如果完全拒绝下载对话框的要求,也有百分之0.6的受感染机会。
格瑞伯说:“也许这个数目字听起来不多,但是你可以想想网路上有多少网站,以及恶意网站所占的百分比。”莱维说:“所以你绝对会希望把所有的补丁都安装上IE浏览器。”
在同样的条件下,使用者使用Mozilla 公司的Firefox浏览器上网,只有百分之0.09受到感染的机会。换句话说,使用IE浏览器的风险大上了21倍。
格瑞伯表示,浏览器的ActiveX和JavaScript功能是造成间谍软体入侵的最大媒介,事实上,Firefox推广者经常指出他们的Firefox浏览器没有ActiveX的功能,所以保证具有更高的安全性。
莱维和格瑞伯并没有去验证这种说法,但是有一点值得注意的是,大部分攻击Firefox浏览器的间谍软体都是使用Java程式写的,尽管如此,它必须经过使用者的同意才能够入侵电脑。
微软强调,开放XP系统试用的最新版IE7浏览器,对 ActiveX有严格的管制,它会先征得使用者的同意,才可执行ActiveX控制的功能。
这是一件好事,因为根据研究发现,网路上大约有20分之1的可执行的档案是间谍软体,约有25分之1的网站中含有间谍软体。
论文结论中指出:“如果这个数字如实反映出现在网路的环境,那么间谍软体确实是一个重要的问题”,莱维说:“如果你上网,你终究会遭遇到间谍软体的攻击。”