不(bu)過前提是(shi)BSI只對Mozilla Firefox68（ESR）、Google Chrome76、Microsoft Internet Explorer11和Microsoft Edge 44進行了測(ce)試，并不(bu)包括(kuo) Safari、Brave、Opera 與 Vivaldi等瀏(liu)覽器。

此次測試是(shi)使用BSI于2019年9月發布的“現(xian)代安全瀏覽(lan)器”指南中(zhong)詳述的規(gui)則進行的。BSI通常根據(ju)該(gai)指南就可以(yi)安全使用哪些瀏覽(lan)器向(xiang)政府機構和私營公(gong)司提(ti)供(gong)建議(yi)。此次指南更新(xin)完善了(le)現(xian)代瀏覽(lan)器新(xin)增和改(gai)進的安全措施與機制，例如(ru)HSTS、SRI、CSP 2.0、遙測處理(li)和改(gai)進的證書處理(li)機制。

根據BSI的新(xin)指(zhi)南，被認為安全的現代(dai) Web 瀏(liu)覽器必須滿(man)足以下最低(di)要求：

必須支持TLS

必須具有受信任證(zheng)書(shu)的(de)列表

必(bi)須支(zhi)持擴展驗證（EV）證書(shu)

必須根據(ju)證(zheng)(zheng)書吊銷列表（CRL）或在線證(zheng)(zheng)書狀態協議（OCSP）驗(yan)證(zheng)(zheng)加載的證(zheng)(zheng)書

瀏覽器(qi)必須使用(yong)圖標或(huo)(huo)顏(yan)色高亮來顯示(shi)通信何時加(jia)密到遠程服務器(qi)或(huo)(huo)采用(yong)明(ming)文形式(shi)

僅(jin)在經過特定用戶(hu)的批準后，才允許連接(jie)到使用過期證書(shu)運(yun)行的遠程(cheng)網(wang)站

必須支持 HTTP Strict Transport Security (HSTS) (RFC 6797)

必須支持 Same Origin Policy (SOP)

必須支持 Content Security Policy (CSP) 2.0

必須支持子資源完整性（SRI）

必須支持自動更新

必須為關鍵的瀏覽(lan)器組件和擴展支(zhi)持單獨的更新機制

必(bi)須(xu)對瀏覽(lan)器更新進行簽名和驗證

瀏(liu)覽器的密(mi)碼管理器必須以加密(mi)形式存儲(chu)密(mi)碼

必(bi)須僅在用(yong)戶輸入主(zhu)密(mi)碼之后允許訪問(wen)瀏覽器的內置(zhi)密(mi)碼庫(ku)

用戶必須(xu)能夠從瀏覽(lan)器(qi)的(de)密(mi)碼管理器(qi)中刪(shan)除密(mi)碼

用戶(hu)必須能(neng)夠阻止或刪除 cookie 文件

用戶必須能(neng)夠阻止或刪除自動(dong)完成歷史記錄

用(yong)戶必須能(neng)夠阻(zu)止或刪(shan)除瀏覽歷史記錄

組織管理員必須能夠配置(zhi)或阻止瀏覽器(qi)發送遙(yao)測/使用數據(ju)

瀏覽器必(bi)須支持一(yi)種機制來檢(jian)查有(you)害內容/URL

瀏覽(lan)器(qi)應允許組織運行(xing)本地存儲(chu)的(de) URL 黑名單

必須支持一(yi)些設置，用(yong)戶可以(yi)在(zai)其中(zhong)啟用(yong)/禁用(yong)插件、擴展或腳本

瀏覽器必須能夠導入集中創建(jian)的配置(zhi)設置(zhi)，非常適合大規模企業部署

必須允許管理員禁用(yong)基(ji)于云的配(pei)置(zhi)文件(jian)同步(bu)功能

必須在初(chu)始化后以最小的(de)操作(zuo)系統(tong)(tong)權限運行在操作(zuo)系統(tong)(tong)中

必須支持沙箱

所有瀏覽器組件(jian)必須彼(bi)此隔離，并且與操作系統隔離。隔離組件(jian)之間的(de)通(tong)信只能通(tong)過定義的(de)接口進行，不能直接訪問隔離組件(jian)的(de)資源

網(wang)頁(ye)需要(yao)彼此隔(ge)離，最好以獨立進程的形式，還要(yao)允(yun)許線程級隔(ge)離

必須使用支持堆棧和堆內存保護的編程語(yu)言對瀏覽(lan)器進行編碼

瀏覽器(qi)供(gong)(gong)應(ying)商(shang)必須在公開披露安全(quan)漏洞后不超(chao)過21天提(ti)供(gong)(gong)安全(quan)更新。如果主瀏覽器(qi)供(gong)(gong)應(ying)商(shang)未能(neng)提(ti)供(gong)(gong)安全(quan)更新，則組織必須移至新的瀏覽器(qi)

瀏(liu)覽器必須(xu)使用OS內存保護，例如(ru)地址空間布局隨機化（ASLR）或(huo)數據執(zhi)行(xing)保護（DEP）

組織管(guan)理員(yuan)必(bi)須能夠管(guan)理或阻止未經批準的(de)(de)附件/擴(kuo)展的(de)(de)安裝

根據 BSI 的(de)說法(fa)，Firefox 是唯一支持以上所有要求的(de)瀏覽(lan)器，其它瀏覽(lan)器測試不(bu)通過的(de)原因包括(kuo)：

缺(que)少(shao)對主(zhu)密碼機制的支持（Chrome、IE、Edge）

沒有內置的更(geng)新(xin)機(ji)制（IE）

沒有阻止遙測(ce)收集(ji)的選項（Chrome、IE、Edge）

不支(zhi)持 SOP（IE）

不支持 CSP（IE）

不支持(chi) SRI（IE）

不支持瀏覽器(qi)配(pei)置文件/不同的配(pei)置（IE、Edge）

缺乏組織透明(ming)度（Chrome、IE、Edge）