◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   关于工信部360安全浏览器测评报告的公开声明   作者:独立调查员   360通过中国网发布公关新闻稿《权威测评机构报告:360浏览器安全可靠》 称,“据最新消息,两家权威评测机构——中国信息安全测评中心、工信部下属 中国软件评测中心对360安全浏览器的安全性能分别发布评测报告。……360浏览 器是全球首款通过国家标准安全评测的浏览器,这也意味着近期关于360浏览器 ‘是否安全’的争议终于有了权威结论。”   新闻稿链接: http://news.china.com.cn/live/2012-11/22/content_17295382.htm   目前暂未见测评报告全文。   360方面正以此为依据,大力鼓吹360浏览器的安全性。   经查证核实有关信息,本人公开声明如下:   1、该测评报告并非360安全浏览器产品测评报告,只是其“登录管理模块 V1.2.0.1071”的测评报告。单一模块安全性不等于整个产品的安全性,这是常 识。   2、经核实,目前360安全浏览器登录管理模块 (\360se\Apps\LoginAssis\LoginAssis.dll)的最新版本是V1.0.8.1070,无法 确定其测评版本V1.2.0.1071来源于360安全浏览器的哪个版本。   3、EAL2是非常低的安全标准。依赖360云服务的登录管理模块是360安全浏 览器最敏感功能模块之一,工信部仅按几乎无法断言其安全性的EAL2标准测评、 并公开发表测评报告为360安全浏览器产品安全性背书,形同儿戏。   根据《信息技术安全标准性评估准则》 (http://www.docin.com/p-44813109.html),评估保证级共分7级(依次增 强),分别是:   EAL1:功能测试   EAL2:结构测试   EAL3:系统测试和检查   EAL4:系统设计、测试和复查   EAL5:半形式化设计和测试   EAL6:半形式化验证的设计和测试   EAL7:形式化验证的设计和测试   其中,评估保证级2(EAL2)适用于:在缺乏现成可用的完整的开发记录时, 开发者或用户需要一种低到中等级别的独立保证的安全性。这种情况可能出现在 对原有系统进行安全保护时或者访问开发者受到限制时。   4、360很早就公开声称送检360安全浏览器产品,公众期待工信部能尽快给 定心丸,但工信部下属所谓“权威机构”却与公众开了个天大的玩笑——仅以低 标准对一个不明来源的模块进行结构测试。本人对工信部表示严重谴责。 (XYS20121123) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇