/e/OS, iodéOS, PostmarketOS, SailfishOS, F-Droid, Aurora Store, FairPhone, Firefox, Murena, PureOS, LibrePhone, AuroraOS, PinePhone, Brax Phone, Ubuntu Touch, Jolla, CalyxOS, LineageOS
使用以上的搭配不如使用 iPhone + App Store + Safari 或者原厂 + Obtainium + Chrome
没有改进安全性的原因大部分是不想,小部分是人少。但其中的一部分甚至在对 GrapheneOS 造谣和人身攻击,因为它们和公司和政府合作摄取利益。
iOS 的 Safari 也是一坨屎山,集成到内核缓存的 WebKit 引擎天然容易爆漏洞以及降低更新频率,我至今想不明白为什么苹果还不开放像 macOS 那样不更新系统只更新浏览器的机制(当然 macOS 即便有这个机制浏览器更新频率也跟 iOS 一样)
Chromium 的沙盒隔离还有一些别的有的没的安全机制确实牛逼,但是也不能否定 F-Droid 和 Firefox 的开放和自由。Chrome 背后的谷歌还不是为了广告需求强推 manifestV3。
所谓安全更多是一个权衡的结果,不同威胁模型的人用不同的配置。
如果谷歌真想为了阻止广告插件,为什么 MV3 的广告插件仍然可以屏蔽所有谷歌的广告?
即使 Safari 是屎山,也不能改变 Firefox 更烂的事实,并且苹果也有可选锁定模式和后台安全改进。
iOS 不能单独更新是因为没有开放侧载。
F-Droid 可以被很多开源项目替代,比如 Obtainium 和 Accerescent,开发者有对安全性的消极态度是没法解决的。
https://privsec.dev/posts/android/f-droid-security-issues/
以上列举的项目通常被误导为比常见产品更安全,仅作提醒。
比烂不可取,Firefox 安全再烂也不能否定它有其他浏览器没有的开放性和插件生态,也不能否定 WebKit 是屎山的事实。另外不能用锁定模式跟其他正常的比,开启锁定模式后的 Safari 的可用性就已经不能叫一个正常可用的浏览器,其他浏览器想做同样的锁定模式也一样有技术可行性。
MV3 能不能阻止谷歌广告不知道,但它确实影响了广告屏蔽的能力,更大了说是降低了插件的自由度。Firefox 主要的发力点并不是安全,而是隐私(防检测防追踪),其内置的容器支持至今在 Chromium 上没有成熟的替代,反正我是没找到。以至于在今天隐私还是安全似乎只能选择一个,并且争论不休。
iOS 不能单独更新浏览器,不是因为不开放侧载,因为这样无法解释为什么 iOS 其他浏览器可以。苹果完全可以将所有浏览器相关全部打包进 ipa 然后丢到 App Store 然后像普通上架 app 一样定期更新。根本原因是苹果将 WebKit 内核作为系统 framework 集成到系统中,这些 framework 会随固件打包流程嵌入到内核缓存中,iOS 最终分发的时候就只会有这个缓存而不像 macOS 那样有原始的 framework binary,导致 iOS 的 WebKit 只有新版本系统打包时才能一并更新。还有,为什么苹果强制 iOS 其他浏览器也要用 WebKit 内核?真的是因为更安全吗?见仁见智。我认为没有真正的竞争就没有真正的发展。
至于你说的误导,确实存在这种现象,尤其是一些新面孔甚至来路不明的软硬件。但是老面孔真的就更好吗?F-Droid 就是一例,用的人实在太多并且“替代谷歌商店”的概念在人脑中根深蒂固,以至于 Obtainium 自己的 README 中都有 Get from F-Droid 链接。威胁模型不同的人强烈建议做足相关研究。
还是那句话,不同威胁模型的情况用不同的安全环境配置,一般人没必要宗教式崇拜所谓安全。
@353804 Firefox 躲指纹原本确实需要自行调整参数,把握不好度很容易让浏览器变得不好用。但现在只需要到插件商店装个插件再大概调整一下选项即可。
Safari 有 Safari 的问题,苹果自己也知道指纹记录保护会破坏网站渲染,多刷新几次就会出现临时关闭保护的提示。我最痛恨的是苹果为了保护自己的应用商店护城河把 WebKit 的 Jetsam 限制调得巨低,导致越来越多的 pwa 无法稳定使用,内存占用多一点就崩。安卓 Firefox/Chrome 从来无此问题。而且自从不知何时起,iOS 端渲染桌面网页已无法做到与 iPadOS/macOS 一致,比如渲染 reddit 网页时下面评论区字体一会大一会小,连产品一致性都做不好。
但 Safari 有一个好,就是背靠 App Store 的插件生态比 Chrome 强一点,沙盒保护可能比 Firefox 又要好一点。
隐私基于安全的争议还是很大,因为如果真的完全基于安全,很多隐私保护的措施就无法做到了,毕竟不去读取就不知道要隐藏什么东西,连安装插件本身都是对安全的一种牺牲。
我个人的实践是双持,对可信网站(注册了账号经常登录的)使用 Firefox,对临时打开的站点使用 Safari/Chrome。不同威胁模型使用不同配置。
@353804 “隐私基于安全”是口号大还是从头到尾都按照这个准则来做开发设计?苹果手机开机后只要输入过密码,安全性就大幅降低。也不能说开机输入密码后锁屏就不需要输入密码了。事实上就是苹果前年才加入对此的缓解措施,可见“隐私保护”机制一直存在,但不是“基于安全设计”,而是“为了安全不断做出修补”。难道要为了安全让手机无时无刻不在 BFU 状态吗?既不现实又无必要,连 GrapheneOS 的做法也只是让手机在特定条件下回到 BFU 模式,与苹果前年的措施一致。
“隐私保护措施无法做到”,准确说应该是“你应该更相信谁”的问题,应该说“隐私和安全关系复杂,有时存在互斥”。具体你可以搜索或者问 AI。安装插件来保护隐私(防止追踪、指纹等),插件往往可以读取到你所有的数据,那你是更相信插件作者还是访问的网站?甚至说,如果 Chromium/WebKit 没有开源,你相不相信这些浏览器引擎呢?浏览器引擎开源,插件也能做到开源,甚至可以做到“可复现编译”。第三方网站呢?浏览器用沙盒限制网站行为,网站自然会转而选择 native app、甚至劣化自己网站体验;浏览器用 MV3 限制插件行为,用户自然会转而选择支持 MV2 的浏览器。这种为了安全而安全、逃避开放的解决方案最终都会导致更大的不安全。
“不是必须”不能反驳安装插件需求的确实存在。为了绝对安全而放弃便利功能从来都不是软硬件发展和选型的硬规则,而是应该严谨讨论和设计。“增加第三方信任和攻击面”的论述在安全层面上确实合理,当初苹果的乔布斯还为了安全拒绝在 iPhone 上开放应用开发,声称使用 web2.0 和自带浏览器可以解决所有应用需求,且保证手机安全。最后结果如何?大家都知道了。再说了,作为攻击者,你是选择攻击插件呢,还是攻击浏览器引擎本身呢?往往是浏览器本身的漏洞更常见也更有价值。
“威胁模型”并不局限于“网站大小”,也关乎其他实际情况。如果你已经在其他方面做好防护,比如单独虚拟机等操作,或者你的系统里面没有摄像头等任何环境传感器、硬盘里只有游戏且不在这里使用网银,那么浏览器沙盒隔离的必要性在此情况下就有所降低。“威胁模型”的定义从来都不是“会不会遭遇攻击”,而是“你的实际情况需要多大程度上防御攻击”。再说了,风险从不是“全或无”的,就算只有“网站大小”维度,风险程度也不一样。“大型网站也可能中招”不代表“大型网站中招的概率与普通小网站一致”。安全攻防从来都是共同存在、没有战果的。
我们使用 LineageOS,是为了它的简洁,是受够了第三方 app 肆无忌惮的保活和拉屎行为,使用 F-Droid,是受够了既不透明又不开放的官方商店审核机制,是为了更自由的软件分发生态,比起到处拉屎作恶的商业 app,比起权限限制严格的官方商店,我们更愿意有一个开源免费的更佳替代,不是有什么大额支票或者国家机密需要藏。他们没有改进安全性,他们中固然有一部分可能真的故意不想,但更多的是民间小团队没有足够的资源可以投入,获取不到足够的信息(拿到漏洞细节需要什么级别的付出?纵然苹果也需要出钱买漏洞、也需要招安越狱大神),而不是为了专门开发一个软件来攻击大众,更不是上赶着视 GrapheneOS 为眼中钉。GrapheneOS 的安全做法启发了苹果,Obtainium 也可能反向影响 F-Droid,埋头做好自己的事情,坚守自己的初心就好。大家一起存在,让普通人有更多选择,让行业在安全方面获得更好发展,本身不是什么坏事。出一些节奏更是真的不是必须。
我完全认可 GrapheneOS 乃至苹果谷歌等商业公司在安全方面所做的努力,但对于个人来说,还是需要想清楚自己在安全方面需要什么。一般人使用有能力且持续在安全方面做出投资和行动的大公司的最新版本软硬件即可,完全没必要教条式崇拜所谓安全。如果威胁模型不允许信任大公司,再去考虑使用安全措施完全公开且经过严谨学术讨论(像一些广泛使用的加密算法一样)的其他产品。
所有的安全手段不过是相对安全,天底下没有不透风的墙。
对于我来说,始终保持最新的 iOS 系统版本就足矣。过分追求安全反倒是给自己增添了麻烦,例如以前在 V 站见过人在墙内还坚持不用国产软件的人,不知道该说什么好。