不過前(qian)提(ti)是BSI只對Mozilla Firefox68（ESR）、Google Chrome76、Microsoft Internet Explorer11和Microsoft Edge 44進(jin)行了測試，并不包括 Safari、Brave、Opera 與 Vivaldi等瀏覽(lan)器。

此(ci)次測(ce)試是使(shi)用BSI于2019年9月發布的“現代(dai)(dai)安全(quan)瀏(liu)覽(lan)器”指南(nan)(nan)中詳述(shu)的規則進行(xing)的。BSI通常根據該(gai)指南(nan)(nan)就可以安全(quan)使(shi)用哪些瀏(liu)覽(lan)器向政府(fu)機(ji)構和私營公司提(ti)供建(jian)議。此(ci)次指南(nan)(nan)更(geng)新(xin)完善了現代(dai)(dai)瀏(liu)覽(lan)器新(xin)增和改進的安全(quan)措施(shi)與機(ji)制，例如HSTS、SRI、CSP 2.0、遙測(ce)處理和改進的證書處理機(ji)制。

根據BSI的新指南，被(bei)認為安全(quan)的現代(dai) Web 瀏覽器必須(xu)滿足以下最(zui)低(di)要求(qiu)：

必須支持TLS

必須(xu)具有受(shou)信任證書的列表(biao)

必(bi)須支(zhi)持擴(kuo)展驗證（EV）證書(shu)

必須根據證(zheng)書吊銷(xiao)列表（CRL）或(huo)在(zai)線證(zheng)書狀態(tai)協(xie)議（OCSP）驗證(zheng)加載的證(zheng)書

瀏覽器必須(xu)使用(yong)圖標或(huo)顏(yan)色高亮來(lai)顯示(shi)通(tong)信何時(shi)加(jia)密(mi)到遠程服(fu)務器或(huo)采用(yong)明文形式

僅在經過特(te)定用戶的(de)批準后(hou)，才允許連(lian)接到(dao)使用過期證書運行的(de)遠程網(wang)站

必(bi)須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)

必須支持 Same Origin Policy (SOP)

必須支持 Content Security Policy (CSP) 2.0

必須支(zhi)持子資(zi)源完整性（SRI）

必(bi)須支持(chi)自動(dong)更新

必須為關鍵的(de)瀏(liu)覽器組件和擴展支持(chi)單獨的(de)更新機制(zhi)

必須對(dui)瀏覽器更新進行(xing)簽名和(he)驗證

瀏覽器的密碼管理器必須以加(jia)密形式(shi)存儲(chu)密碼

必須僅在用戶(hu)輸入主密(mi)碼(ma)之后允許訪問瀏覽器(qi)的(de)內置密(mi)碼(ma)庫

用(yong)戶必須能(neng)夠從瀏覽(lan)器的密碼(ma)(ma)管理(li)器中刪除密碼(ma)(ma)

用戶必須(xu)能夠阻止或刪除(chu) cookie 文(wen)件

用戶必須能夠阻止(zhi)或刪(shan)除(chu)自動(dong)完(wan)成(cheng)歷史記錄

用戶必須能夠阻止或刪(shan)除瀏覽歷史記錄

組織(zhi)管理(li)員必(bi)須能夠配置(zhi)或(huo)阻止瀏覽器發送遙測/使用數據

瀏覽器必須支(zhi)持一種機制來檢查有害內容(rong)/URL

瀏(liu)覽器應(ying)允許(xu)組織運行本地存儲的 URL 黑名單

必須支持一些設置，用戶可(ke)以在其中啟用/禁用插件、擴展或腳本

瀏覽器必須能(neng)夠導入(ru)集中創建的配置(zhi)設置(zhi)，非常適(shi)合大規(gui)模企業部署

必須允許管理員(yuan)禁用基于云的配置文(wen)件同步功能

必須在初始化后以最小的操(cao)作系統(tong)權(quan)限運行在操(cao)作系統(tong)中

必須支持沙箱

所有瀏(liu)覽(lan)器組件(jian)必(bi)須彼此隔(ge)離，并且與操作系(xi)統隔(ge)離。隔(ge)離組件(jian)之間的通(tong)信只能通(tong)過(guo)定義(yi)的接口(kou)進行，不能直接訪(fang)問隔(ge)離組件(jian)的資源

網頁需要(yao)彼此(ci)隔離，最好以獨(du)立(li)進程(cheng)的形式，還(huan)要(yao)允許線(xian)程(cheng)級隔離

必(bi)須使用支(zhi)持(chi)堆棧和堆內(nei)存保護的編程語言(yan)對瀏覽器進行編碼

瀏(liu)(liu)覽(lan)器供(gong)應商(shang)必須在(zai)公開披露(lu)安(an)(an)全(quan)漏(lou)洞后(hou)不超(chao)過21天(tian)提(ti)供(gong)安(an)(an)全(quan)更新。如果(guo)主瀏(liu)(liu)覽(lan)器供(gong)應商(shang)未能提(ti)供(gong)安(an)(an)全(quan)更新，則組(zu)織必須移至新的瀏(liu)(liu)覽(lan)器

瀏覽器(qi)必(bi)須(xu)使用OS內存保護，例如地(di)址空間布局隨機化（ASLR）或數據執行保護（DEP）

組織管(guan)理(li)員必須(xu)能夠管(guan)理(li)或阻止(zhi)未(wei)經批(pi)準(zhun)的(de)附件/擴展的(de)安裝

根據 BSI 的(de)說法，Firefox 是唯(wei)一(yi)支(zhi)持(chi)以上所(suo)有要求的(de)瀏覽器，其它瀏覽器測(ce)試不通過的(de)原因(yin)包括：

缺少對主密碼機制(zhi)的支(zhi)持（Chrome、IE、Edge）

沒(mei)有內置的更新機(ji)制（IE）

沒有阻止遙測(ce)收集的(de)選(xuan)項（Chrome、IE、Edge）

不支持 SOP（IE）

不支(zhi)持 CSP（IE）

不支持 SRI（IE）

不支持瀏覽(lan)器(qi)配置(zhi)文件/不同的(de)配置(zhi)（IE、Edge）

缺乏組(zu)織透明度(du)（Chrome、IE、Edge）