/e/OS, iodéOS, PostmarketOS, SailfishOS, F-Droid, Aurora Store, FairPhone, Firefox, Murena, PureOS, LibrePhone, AuroraOS, PinePhone, Brax Phone, Ubuntu Touch, Jolla, CalyxOS, LineageOS
使用以上的搭配不如使用 iPhone + App Store + Safari 或者原厂 + Obtainium + Chrome
没有改进安全性的原因大部分是不想,小部分是人少。但其中的一部分甚至在对 GrapheneOS 造谣和人身攻击,因为它们和公司和政府合作摄取利益。
iOS 的 Safari 也是一坨屎山,集成到内核缓存的 WebKit 引擎天然容易爆漏洞以及降低更新频率,我至今想不明白为什么苹果还不开放像 macOS 那样不更新系统只更新浏览器的机制(当然 macOS 即便有这个机制浏览器更新频率也跟 iOS 一样)
Chromium 的沙盒隔离还有一些别的有的没的安全机制确实牛逼,但是也不能否定 F-Droid 和 Firefox 的开放和自由。Chrome 背后的谷歌还不是为了广告需求强推 manifestV3。
所谓安全更多是一个权衡的结果,不同威胁模型的人用不同的配置。
如果谷歌真想为了阻止广告插件,为什么 MV3 的广告插件仍然可以屏蔽所有谷歌的广告?
即使 Safari 是屎山,也不能改变 Firefox 更烂的事实,并且苹果也有可选锁定模式和后台安全改进。
iOS 不能单独更新是因为没有开放侧载。
F-Droid 可以被很多开源项目替代,比如 Obtainium 和 Accerescent,开发者有对安全性的消极态度是没法解决的。
https://privsec.dev/posts/android/f-droid-security-issues/
以上列举的项目通常被误导为比常见产品更安全,仅作提醒。
比烂不可取,Firefox 安全再烂也不能否定它有其他浏览器没有的开放性和插件生态,也不能否定 WebKit 是屎山的事实。另外不能用锁定模式跟其他正常的比,开启锁定模式后的 Safari 的可用性就已经不能叫一个正常可用的浏览器,其他浏览器想做同样的锁定模式也一样有技术可行性。
MV3 能不能阻止谷歌广告不知道,但它确实影响了广告屏蔽的能力,更大了说是降低了插件的自由度。Firefox 主要的发力点并不是安全,而是隐私(防检测防追踪),其内置的容器支持至今在 Chromium 上没有成熟的替代,反正我是没找到。以至于在今天隐私还是安全似乎只能选择一个,并且争论不休。
iOS 不能单独更新浏览器,不是因为不开放侧载,因为这样无法解释为什么 iOS 其他浏览器可以。苹果完全可以将所有浏览器相关全部打包进 ipa 然后丢到 App Store 然后像普通上架 app 一样定期更新。根本原因是苹果将 WebKit 内核作为系统 framework 集成到系统中,这些 framework 会随固件打包流程嵌入到内核缓存中,iOS 最终分发的时候就只会有这个缓存而不像 macOS 那样有原始的 framework binary,导致 iOS 的 WebKit 只有新版本系统打包时才能一并更新。还有,为什么苹果强制 iOS 其他浏览器也要用 WebKit 内核?真的是因为更安全吗?见仁见智。我认为没有真正的竞争就没有真正的发展。
至于你说的误导,确实存在这种现象,尤其是一些新面孔甚至来路不明的软硬件。但是老面孔真的就更好吗?F-Droid 就是一例,用的人实在太多并且“替代谷歌商店”的概念在人脑中根深蒂固,以至于 Obtainium 自己的 README 中都有 Get from F-Droid 链接。威胁模型不同的人强烈建议做足相关研究。
还是那句话,不同威胁模型的情况用不同的安全环境配置,一般人没必要宗教式崇拜所谓安全。
@353804 Firefox 躲指纹原本确实需要自行调整参数,把握不好度很容易让浏览器变得不好用。但现在只需要到插件商店装个插件再大概调整一下选项即可。
Safari 有 Safari 的问题,苹果自己也知道指纹记录保护会破坏网站渲染,多刷新几次就会出现临时关闭保护的提示。我最痛恨的是苹果为了保护自己的应用商店护城河把 WebKit 的 Jetsam 限制调得巨低,导致越来越多的 pwa 无法稳定使用,内存占用多一点就崩。安卓 Firefox/Chrome 从来无此问题。而且自从不知何时起,iOS 端渲染桌面网页已无法做到与 iPadOS/macOS 一致,比如渲染 reddit 网页时下面评论区字体一会大一会小,连产品一致性都做不好。
但 Safari 有一个好,就是背靠 App Store 的插件生态比 Chrome 强一点,沙盒保护可能比 Firefox 又要好一点。
隐私基于安全的争议还是很大,因为如果真的完全基于安全,很多隐私保护的措施就无法做到了,毕竟不去读取就不知道要隐藏什么东西,连安装插件本身都是对安全的一种牺牲。
我个人的实践是双持,对可信网站(注册了账号经常登录的)使用 Firefox,对临时打开的站点使用 Safari/Chrome。不同威胁模型使用不同配置。
@353804 “隐私基于安全”是口号大还是从头到尾都按照这个准则来做开发设计?苹果手机开机后只要输入过密码,安全性就大幅降低。也不能说开机输入密码后锁屏就不需要输入密码了。事实上就是苹果前年才加入对此的缓解措施,可见“隐私保护”机制一直存在,但不是“基于安全设计”,而是“为了安全不断做出修补”。难道要为了安全让手机无时无刻不在 BFU 状态吗?既不现实又无必要,连 GrapheneOS 的做法也只是让手机在特定条件下回到 BFU 模式,与苹果前年的措施一致。
“隐私保护措施无法做到”,准确说应该是“你应该更相信谁”的问题,应该说“隐私和安全关系复杂,有时存在互斥”。具体你可以搜索或者问 AI。安装插件来保护隐私(防止追踪、指纹等),插件往往可以读取到你所有的数据,那你是更相信插件作者还是访问的网站?甚至说,如果 Chromium/WebKit 没有开源,你相不相信这些浏览器引擎呢?浏览器引擎开源,插件也能做到开源,甚至可以做到“可复现编译”。第三方网站呢?浏览器用沙盒限制网站行为,网站自然会转而选择 native app、甚至劣化自己网站体验;浏览器用 MV3 限制插件行为,用户自然会转而选择支持 MV2 的浏览器。这种为了安全而安全、逃避开放的解决方案最终都会导致更大的不安全。
“不是必须”不能反驳安装插件需求的确实存在。为了绝对安全而放弃便利功能从来都不是软硬件发展和选型的硬规则,而是应该严谨讨论和设计。“增加第三方信任和攻击面”的论述在安全层面上确实合理,当初苹果的乔布斯还为了安全拒绝在 iPhone 上开放应用开发,声称使用 web2.0 和自带浏览器可以解决所有应用需求,且保证手机安全。最后结果如何?大家都知道了。再说了,作为攻击者,你是选择攻击插件呢,还是攻击浏览器引擎本身呢?往往是浏览器本身的漏洞更常见也更有价值。
“威胁模型”并不局限于“网站大小”,也关乎其他实际情况。如果你已经在其他方面做好防护,比如单独虚拟机等操作,或者你的系统里面没有摄像头等任何环境传感器、硬盘里只有游戏且不在这里使用网银,那么浏览器沙盒隔离的必要性在此情况下就有所降低。“威胁模型”的定义从来都不是“会不会遭遇攻击”,而是“你的实际情况需要多大程度上防御攻击”。再说了,风险从不是“全或无”的,就算只有“网站大小”维度,风险程度也不一样。“大型网站也可能中招”不代表“大型网站中招的概率与普通小网站一致”。安全攻防从来都是共同存在、没有战果的。
我们使用 LineageOS,是为了它的简洁,是受够了第三方 app 肆无忌惮的保活和拉屎行为,使用 F-Droid,是受够了既不透明又不开放的官方商店审核机制,是为了更自由的软件分发生态,比起到处拉屎作恶的商业 app,比起权限限制严格的官方商店,我们更愿意有一个开源免费的更佳替代,不是有什么大额支票或者国家机密需要藏。他们没有改进安全性,他们中固然有一部分可能真的故意不想,但更多的是民间小团队没有足够的资源可以投入,获取不到足够的信息(拿到漏洞细节需要什么级别的付出?纵然苹果也需要出钱买漏洞、也需要招安越狱大神),而不是为了专门开发一个软件来攻击大众,更不是上赶着视 GrapheneOS 为眼中钉。GrapheneOS 的安全做法启发了苹果,Obtainium 也可能反向影响 F-Droid,埋头做好自己的事情,坚守自己的初心就好。大家一起存在,让普通人有更多选择,让行业在安全方面获得更好发展,本身不是什么坏事。出一些节奏更是真的不是必须。
我完全认可 GrapheneOS 乃至苹果谷歌等商业公司在安全方面所做的努力,但对于个人来说,还是需要想清楚自己在安全方面需要什么。一般人使用有能力且持续在安全方面做出投资和行动的大公司的最新版本软硬件即可,完全没必要教条式崇拜所谓安全。如果威胁模型不允许信任大公司,再去考虑使用安全措施完全公开且经过严谨学术讨论(像一些广泛使用的加密算法一样)的其他产品。
@uuu 你举的锁屏例子本质上是为兼容性(可用性)让路,现实中有很多因为资源不足不能重写现有代码和逻辑,比如 GrapheneOS 为了保证 99% 安卓兼容性使用 Linux 这个内存不安全的宏内核。
隐私和安全最多相互依赖不会互斥,插件只是增加了信任,也不是必需和唯一的。就和修改 IMEI 一样,完全可以再买一部手机。
这种为了安全而安全、逃避开放的解决方案最终都会导致更大的不安全。
和我对 root 权限的观点一致,本质上是把风险交给人这个最大的风险。所谓“不开放”是像 Play Integrity 那样封闭的,MV3 也有插件用,像修改 App 和系统也有免 root 方案。
当初苹果的乔布斯还为了安全拒绝在 iPhone 上开放应用开发,声称使用 web2.0 和自带浏览器可以解决所有应用需求,且保证手机安全。最后结果如何?
兼容性,说实话我非常赞成,特别是 WASM 成熟以后。
对于个人来说威胁模型的底线应该大大提高了。
他们中固然有一部分可能真的故意不想,但更多的是民间小团队没有足够的资源可以投入
这是我要特地强调的地方,在我维护 GrapheneOS 讨论氛围时有很多这样的讨论。说白了就是故意的,因为一部分是有和 Linus 一样错误的安全观念,一部分就是商业。这两种都对 GrapheneOS 进行无数大小人身攻击和网络暴力并持续至今。
大家一起存在,让普通人有更多选择,让行业在安全方面获得更好发展,本身不是什么坏事。出一些节奏更是真的不是必须。
对,但是提到的都不想改变,甚至应激和攻击。 privsec.dev 提到的 F-Droid 不安全措施到现在改了一半都不到。
如果威胁模型不允许信任大公司,再去考虑使用安全措施完全公开且经过严谨学术讨论(像一些广泛使用的加密算法一样)的其他产品。
大公司和经过审计(安全措施完全公开且经过严谨学术讨论)不冲突。
@353804 >隐私和安全最多相互依赖不会互斥
本质上还是你更相信谁的问题。最直接的例子就是杀毒软件,为什么杀毒软件扫盘人们不反感,腾讯游戏扫盘就会招来反感?另一个例子是防火墙,如果通讯完全端到端加密,防火墙怎么识别病毒、诈骗网站等恶意载荷?再一个最普遍的,家里装摄像头、搞录像防贼,怎么避免把自己人录进去呢?只要你用的是别人做的东西,你就不可避免牺牲掉一部分隐私。换来的是对更不可信任实体的更强防护。想要绝对的隐私和安全?拔网线、不用别人写的软件、甚至自己做硬件。
不是必需和唯一
我还是那个观点。“不是必须”不能反驳需求的确实存在。并且作为一个已经成熟的浏览器扩展方案,不能仅用“安全”为由拒绝开放或完全淘汰。你说“使用以上的搭配不如 iPhone”,那 iOS15 为什么要给内置浏览器新增插件支持?你说 GrapheneOS 为了兼容安卓生态选择内存不安全的 Linux 内核,那它为什么要兼容安卓?
MV3 确实也有插件用,但是对现有插件、尤其是连 uBlock 这种如此克制的内容过滤插件的能力都大幅削弱了。正确的方式应该是在不断更加开放的前提下商讨一个更加合理的、不需新增限制的改进方案,比如敏感权限需用户明确授权等,或者更安全的替代也行,而不是完全没法用。苹果的 TCC 和安卓的 AppOps 就是很好的例子。事实上就是,现代浏览器内核相比以往,新增了 wasm 支持、webGL 支持,并允许接入系统推送、调用系统传感器(摄像头等);Linux 内核本身也在不断增加对新硬件的直接支持。这些新增能力哪一个不是增加了攻击面?都是通过不断的安全修复来弥补:提高内核的更新频率、优先修复安全漏洞、用内存安全性佳的 Rust 重构关键代码等。如果按照你所说,安全第一,那么只需要深耕改进 IE6 的安全就可以了。
完全可以再买一部手机
有多少人有能力买两部手机?要知道世界上还有很多人用不上智能手机。与其“何不食肉糜”,不如将最被广泛使用的操作系统的隐私、安全和可用性都做好。
把风险交给人这个最大的风险
只要还是人在写代码,就不可避免地把风险交给人。GrapheneOS 是不是由人开发?root 权限也只是提升风险的其中一种情况,免 root 修改系统一样会存在风险,甚至不修改系统都会有风险。小米已经几乎完全禁止了解 BL 锁,你可以去查查最近小米的手机都是怎么解锁的。
大公司和经过审计不冲突
我能看见的是,大公司往往反而更容易为了商业原因转而闭源或部分闭源,远的例子有苹果,近的例子有 OpenAI。这会导致可能的问题:
对于个人来说威胁模型的底线应该大大提高
我还是那个观点。个人威胁模型没有变化。取决于“威胁模型”的定义。我的定义是:需要防范什么水平的攻击。从绝对值的角度看,攻击面、漏洞都多了,因为软件的发展,支持的功能越来越多,这确实不假;但行业的安全防御水平也在提高,使得普通人所需要做的额外措施不增。普通人过去只需要防止中病毒,现在还是只需要防范中病毒,从来就没有提升到“需要防范政府支持的间谍软件”的程度,而且能做的也有限。苹果的“锁定模式”人人都可以打开,但需要主动手动打开;你上街找十个人让打开,有十个人都不愿意。
在我维护 GrapheneOS 讨论氛围时有很多这样的讨论。说白了就是故意的
我是觉得,如果你是 GrapheneOS 社区的管理,那么你就管好这些无谓的攻击行为便是,谁发这种毫无帮助的帖子或回复直接封。是不是故意的不重要,重要的是发的东西有没有营养,没必要揣测他们的动机。在 GrapheneOS 社区,我最乐见的帖子是:讨论“高通处理器和三星 Knox 的局限兼谈 MTE 的必要性”、“什么是 Titan 芯片以及为什么 GrapheneOS 一直只支持 Pixel 手机”、“Firefox 等其他非 Chromium 浏览器的沙盒强度以及为什么 GrapheneOS 选择内置 Chromium 浏览器”、“沙盒化 Google 服务对安全、隐私和手机续航的益处”等真正有营养的帖子,而不是奇奇怪怪的节奏、骂战等。你提到的有“错误安全观念”、“商业”的人,往往并不代表他们所袒护的软硬件,甚至就算是开发者中的一员,也未必与他们团队内部的真实态度一致,甚至根本就只是个独立贡献者或者普通用户。何必与这种人置气?
当然你可以说他们不安全,但是更好的做法是摆事实讲道理,说明他们在哪里不安全,他们的软件存在什么样的长期不理的漏洞(CVE 编号?CVSS 评分?多久没修复?),他们对待漏洞报告的态度(是否长时间不修复、甚至安全研究员到期公开漏洞细节后仍不修复?),他们(如果开源)对社区提交的修复安全问题的 PR 的态度(是否长期不 merge?)等,而不是毫无来头地发一个“因为他们应激攻击 GrapheneOS 所以他们不安全、他们不愿意变安全”的空洞回击贴。你的回复中说到的privsec.dev 提到的 F-Droid 不安全措施到现在改了一半都不到就是一个很好的切入点,这句话应该出现在主帖并附上参考链接。
但是“改了一半都不到”不是恰恰说明他们其实有改吗?至于改的速度,除了他们个人对待安全的态度外,还取决于这个项目的维护团队的性质(他们有多少人?多少资源?多少时间和精力?个人爱好业余维护还是有公司负责发工资?等)。不可能用专注于安全的 GrapheneOS 和专注于自由的 F-Droid 比安全。如我之前的回复所说,这些项目最大的价值是直击大公司软件不愿或暂无法提供的痛点需求,增加大公司产品选择吸纳这些痛点的概率,而不是作为成熟的企业级解决方案。GrapheneOS 也一样,比如我之前提到的直击手机上长期存续的 AFU 模式不够安全的痛点,引入特定条件下回到 BFU 的机制,使苹果在 iOS18 照样跟进。GrapheneOS 和苹果谷歌的官方系统相比谁更好用呢?连手机测评博主在试用后都选择回归原生谷歌安卓系统。但它对安全的执着,成功倒逼苹果作出与它一致的安全缓解方案。
@uuu > 只要你用的是别人做的东西,你就不可避免牺牲掉一部分隐私。换来的是对更不可信任实体的更强防护。想要绝对的隐私和安全?拔网线、不用别人写的软件、甚至自己做硬件。
软件和硬件的作者与安全性无关,和审计、设计和维护有关。
有多少人有能力买两部手机?
Pixel 或 iPhone 都有在维护的低于一千人民币二手机型。
要知道世界上还有很多人用不上智能手机。与其“何不食肉糜”,不如将最被广泛使用的操作系统的隐私、安全和可用性都做好。
AOSP 和 iOS 都在改进。
只要还是人在写代码,就不可避免地把风险交给人。
开发者比用户更懂安全是什么,自由应该包括很容易伤害自己且不必要的限制。
代码行为无法被独立第三方审计,隐私保护程度存疑
安全研究者无法直接审计代码,只能依赖于逆向工程
安全研究者的安全报告无法被独立的第三方复现和验证
即使是开源项目,审计过程中逆向工程也几乎是必备的。除了一些商业公司只会给结果,还没有什么报告不能独立复现的。
但行业的安全防御水平也在提高,使得普通人所需要做的额外措施不增。
绝对不是,具体在设备制造商和第三方应用。
甚至就算是开发者中的一员,也未必与他们团队内部的真实态度一致
如果团队愿意改进怎么会被几个贡献者拖住?
而不是毫无来头地发一个“因为他们应激攻击 GrapheneOS 所以他们不安全、他们不愿意变安全”的空洞回击贴。
这不是攻击,不要篡改我的意思。
至于改的速度,除了他们个人对待安全的态度外,还取决于这个项目的维护团队的性质
不可能用专注于安全的 GrapheneOS 和专注于自由的 F-Droid 比安全。
为什么我不批评 Obtainium, Accrescent, DivestOS 等项目?为什么这些项目在捐款远低于“自由”项目的情况下可以做到又安全又自由?
而不是奇奇怪怪的节奏、骂战等
这没有脏话或任何攻击性言论,都是事实和合理推断。同时注重安全和隐私的用户也需要这些资源。
软件和硬件的作者与安全性无关,和审计、设计和维护有关。
到底知不知道什么是开发?知不知道什么是重构,什么叫船大难掉头?因架构设计不合理导致安全问题难以解决最后推倒重来的例子还少吗?打补丁解决问题和重构解决问题哪个复杂性高?
“硬件的作者与安全性无关”更是无稽之谈,英特尔 AMD 因为架构设计失误导致安全问题,最终禁用一些东西致性能损失让全体消费者买单?
还有,什么叫审计、设计和维护?设计什么时候跟审计维护放一起?负责设计的难道不算作者吗?非要是“将设计翻译成代码”的人才叫“作者”?
开发者比用户更懂安全是什么
一个只做逆向工程的安全研究员作为用户去使用一个新手程序员开发的产品,谁更懂安全?
自由应该包括很容易伤害自己且不必要的限制。
先不说加了限制的自由还算不算自由。“很容易”怎么定义?“不必要”怎么定义?有没有行业普遍承认的标准?没有的话,一千个人有一千个不同的定义?到底谁是对的?
Pixel 或 iPhone 都有在维护的低于一千人民币二手机型
你说的是“再买一部手机”,往小了说,就算买得起两部手机,app 风控的问题怎么解决?app 带互斥登录机制强绑定其中一台手机的问题怎么解决?老是顶号麻不麻烦呢?会不会被风控系统盯上呢?往大了说,你要不要看看国内有多少人为了一年省几百愿意牺牲你所谓的安全而不是再买一个手机呢?更不用说这个世界上尤其第三世界国家很多人饭都吃不起还要来处理第一世界国家产生的电子垃圾?
即使是开源项目,审计过程中逆向工程也几乎是必备的
我说的是闭源软件不能直接看源码只能逆向啊?跟你说的开源项目逆向审计是一回事吗?
除了一些商业公司只会给结果
苹果就是你说的只会给结果的商业公司,甚至连结果都不会给呢?甚至出现过这个稳定版本官宣修好的安全漏洞下个版本它甚至还能回滚回去,最后自己悄咪咪修改漏洞修复列表?这种篡改报告的行为怎么算?
绝对不是,具体在设备制造商和第三方应用
设备制造商和第三方应用买的用的都是什么?他们买的芯片是谁设计?操作系统、编译器和 SDK 是谁开发?不还是有名大公司,或者他们牵头的成熟开源项目?这些大公司每次架构改进难道只顾性能提升不顾安全吗?第三方应用无论写得再烂,只要它跑在带 PAC 或者 MTE 的芯片上,跑在带 KTRR 和内核沙盒的操作系统上,难道不就是天生就比之前更难被用来搞攻击?
如果团队愿意改进怎么会被几个贡献者拖住?
这些具体情况你但凡在主帖里详细写一写呢?给个链接让大家点击进去观摩观摩呢?看看是确实可以作为你的声称的有力论据,还是仅仅是你对开发者的动机揣测呢?
这不是攻击,不要篡改我的意思。
你看看你主帖一共几个字呢?到底有没有论据,哪个子字符串是论据?毫无论据的陈述在读者看来就是攻击
在公开社区发帖,读者就有权自由理解你提供的内容啊?不想被曲解,那你发朋友圈自己看着玩呢,保证只有你自己的意思?
为什么我不批评 Obtainium, Accrescent, DivestOS 等项目?为什么这些项目在捐款远低于“自由”项目的情况下可以做到又安全又自由?
为什么不解释解释为什么 Obtainium 在 README 提供 F-Droid 下载链接?真如你所说 Obtainium 比 F-Droid 更安全,那自立门户不跟他玩啊?而且它们真的更安全吗?论据何在?你不批评就是更安全吗?
捐款是不是决定一切?就算有公司发工资,员工是不是百分百愿意 996 做牛做马?加了工资有几个不摸鱼的呢?再说了,什么叫做捐款远低于“自由”?自由与否什么时候是用捐款来定义?
这没有脏话或任何攻击性言论,都是事实和合理推断。同时注重安全和隐私的用户也需要这些资源。
你看看你的主帖,你提供了什么来支撑你声称的事实和合理推断?别人凭什么信你?除了一个声称性的陈述和一个指向 GrapheneOS 介绍贴的链接,你到底还提供了什么“资源”?或者你现在提供的到底能不能称得上“资源”?
最后说一句,你说很多人有“错误的安全观念”,那么什么是正确?标准何在?你但凡提供一个“密码学简易教程”呢?分享一下行业成熟的安全实践呢?或者干脆从技术层面介绍一下你熟悉的 GrapheneOS 在安全方面做的具体努力呢?
所有的安全手段不过是相对安全,天底下没有不透风的墙。
对于我来说,始终保持最新的 iOS 系统版本就足矣。过分追求安全反倒是给自己增添了麻烦,例如以前在 V 站见过人在墙内还坚持不用国产软件的人,不知道该说什么好。