V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  浏览器

我找到了最好用的浏览器!

  •  
  •   drymonfidelia · 21 天前 · 8052 次点击
    因为 Chrome 关不掉 WASM 这个高危功能(不自己编译 Chromium 的话唯一的关闭方法是快捷方式里加个启动参数,但这样做如果 Chrome 不是从快捷方式启动的话就不会生效),不登录账号的情况下也会在后台频繁请求 Google 和 Edge 超级多遥测( /t/1000852 )的原因,我一直在使用 Firefox 。然而 Firefox 小 Bug 不断,经常出现浏览器窗口被置顶(显示在所有其它窗口前)之类莫名奇妙的 bug 。Firefox 121 版开始还出现了关闭 WASM 后无法使用刷新按钮的严重 Bug ,等待几个月官方一直没修,实在受不了没有刷新按钮了,注册了 Bugzilla 提交了反馈。https://bugzilla.mozilla.org/show_bug.cgi?id=1890137 等了 20 天,他们给了一个 workaround ,让我把 wasm_trustedprincipals 打开,算是解决了,但是最近又遇到了浏览器非常频繁卡死,只能把主力浏览器暂时切换到 Ungoogled Chromium 。

    今天意外看到 Discord 里有群友在推荐 Firefox ESR 版,是基于 Firefox 115 制作的,提供安全维护,试了下非常丝滑,应该是最好用的浏览器了。
    61 条回复    2024-05-27 13:03:49 +08:00
    0superx0
        1
    0superx0  
       21 天前   ❤️ 20
    最适合你的不代表是最好的
    HojiOShi
        2
    HojiOShi  
       21 天前
    不懂。为什么说 WASM 这个功能高危呢?有几个安全漏洞就算高危吗?
    loveqianool
        3
    loveqianool  
       21 天前 via Android   ❤️ 4
    The most of source code of version 10 or later of Floorp Browser, the most Advanced and Fastest Firefox derivative 🦊
    floorp.app
    drymonfidelia
        4
    drymonfidelia  
    OP
       21 天前
    @HojiOShi 从 WASM 功能出现开始就一直不停地出新漏洞,随便搜了一下 CVE-2022-28990 CVE-2021-30734 CVE-2024-4775 CVE-2024-34251 而且这个功能一出漏洞都是高危,可以直接执行远程代码
    drymonfidelia
        5
    drymonfidelia  
    OP
       21 天前
    @loveqianool 感谢推荐,想知道这个浏览器是基于什么版本 Firefox 制作的,我在主楼提到的几个 bug 修复了吗?
    drymonfidelia
        6
    drymonfidelia  
    OP
       21 天前
    @HojiOShi 连遥测最多的 Edge 都提供了关闭 WASM 的功能,足以说明这个功能多危险了
    cmdOptionKana
        7
    cmdOptionKana  
       21 天前
    感谢告知,立即下载了,感觉还不错
    MoeMoesakura
        8
    MoeMoesakura  
       21 天前
    “最好用”这可不好,现在一大堆都是以 chrome/v8 的规范写的,用 firefox 就卡的不行(体感最明显的就是 B ,ytb 都没上来 50%cpu )
    OleJienNor
        9
    OleJienNor  
       21 天前 via Android
    前端开发同时也是用户啊,如果在网上联名抗议谷歌现在的“不做人”原则,同时提倡用户使用其他浏览器,规范上也可以做出调整。还是能产生一些影响的
    smallboy19991231
        10
    smallboy19991231  
       21 天前 via iPhone
    其實蘋果的瀏覽器挺不錯的
    ranaanna
        11
    ranaanna  
       21 天前   ❤️ 3
    OP 的逻辑有点奇怪。要避免安全漏洞被利用,应该是尽快升级浏览器使其保持最新,而不是关闭“高危功能”。比如 OP 提到的 CVE-2024-4775 ,查到受影响到的是 firefox <126 的版本(相应的 ESR 版可能是 <115.10 )。ESR 版本也要更新到最新才有可能减少漏洞数量,另外 ESR 版是稳定优先,安全更新可能会慢一点,意味着同时期漏洞数量可能会更多
    drymonfidelia
        12
    drymonfidelia  
    OP
       21 天前
    @ranaanna 是的,要更新到最新才能解决安全问题,但是更新到最新就会出现我主楼提到的一堆严重影响使用的 bug
    ntedshen
        13
    ntedshen  
       21 天前
    隔壁民科级保密版块都是拿 wasm 当前端数据安全的最终解决方案。。。
    到你这成因为有远程执行漏洞所以太危险了。。。

    我的建议是要不你们打一架先。。。
    drymonfidelia
        14
    drymonfidelia  
    OP
       21 天前
    @ranaanna 补充#12 而 ESR 更新到最新不会出现上面这些 bug ,所以我觉得它很棒
    belin520
        15
    belin520  
       21 天前 via iPhone
    最好的浏览器应该是 360 极速浏览器
    0o0O0o0O0o
        16
    0o0O0o0O0o  
       21 天前
    这么担心被 RCE 的话,考虑禁用 JIT 吗?
    Lightbright
        17
    Lightbright  
       21 天前 via Android
    参见 chrome html 解析也能出 rce
    weiqk
        18
    weiqk  
       21 天前
    Firefox ESR 一直是主力浏览器,chrome 系列从来没做过主力,自从 2004
    HojiOShi
        19
    HojiOShi  
       21 天前
    @ntedshen #13 这两种情况你怎么能看成是一样的呢?
    Yzh361
        20
    Yzh361  
       21 天前 via Android
    好多年前就用过了… 现在用 kiwi
    z5238384
        21
    z5238384  
       21 天前
    以外的感觉不错,谢谢楼主
    Johnming
        22
    Johnming  
       21 天前
    感谢,打算尝试
    ntedshen
        23
    ntedshen  
       21 天前
    @HojiOShi
    试想一下把 op 的观点置入隔壁的视角:如果你支持因为“安全”问题禁用 wasm ,那么你将失去“更加安全”的选项。
    不要问我为什么,但是两边加起来看起来只能得出这个结论
    drymonfidelia
        24
    drymonfidelia  
    OP
       21 天前
    @Lightbright 之前 webp 渲染也出过 RCE ,但没有像 wasm 这样每年都出好几个漏洞
    drymonfidelia
        25
    drymonfidelia  
    OP
       21 天前
    @ntedshen 隔壁哪个帖子?前端密码加密那个帖子吗?我也是支持前端加密没有意义那边的,如果攻击者能截获你的网络流量,自然也能 log 你的输入
    drymonfidelia
        26
    drymonfidelia  
    OP
       21 天前
    @drymonfidelia #25 修正:也能在篡改网页里插入 log 你输入的代码
    icaolei
        27
    icaolei  
       21 天前
    @Yzh361 #20 Kiwi 有 PC 版本么?
    jianchang512
        28
    jianchang512  
       21 天前
    都是从事军事活动的吗,安全级别这么高
    ntedshen
        29
    ntedshen  
       21 天前
    @drymonfidelia 其实我是有些想去隔壁问“但是你们的终极武器现在充满了 cve ,这要怎么办”了(狗头
    话说 esr 一遍似乎也就是一年期,估计也快更了。。。
    drymonfidelia
        30
    drymonfidelia  
    OP
       21 天前
    @Lightbright 另外 html 解析的 rce CVE-2024-0517 需要在关闭 sandbox 下才触发,没什么影响
    drymonfidelia
        31
    drymonfidelia  
    OP
       21 天前
    @jianchang512 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的
    enihcam
        32
    enihcam  
       21 天前
    @drymonfidelia 试一下 thorium ,然后再发一篇“我又找到了最好用的浏览器!”
    YaD2x
        33
    YaD2x  
       21 天前   ❤️ 1
    违法广告法
    tianzi123
        34
    tianzi123  
       21 天前
    @drymonfidelia #31 逛了 15 年互联网也没碰到你说的情况
    drymonfidelia
        35
    drymonfidelia  
    OP
       21 天前
    @0o0O0o0O0o 没关,查了下 JIT 的 CVE 好像都不能穿沙盒
    capgrey
        36
    capgrey  
       21 天前
    DuckduckGo 调查过吗?

    https://duckduckgo.com/app
    jqtmviyu
        37
    jqtmviyu  
       21 天前
    @drymonfidelia #5 点进去主页就看到介绍了. 也是 esr.
    songunity
        38
    songunity  
       21 天前
    最好用的就是 chrome
    Yadomin
        39
    Yadomin  
       21 天前 via Android
    我寻思 V8 也挺多漏洞的,要不给 js 也禁用了吧
    https://github.com/rycbar77/V8Exploits
    neptuno
        40
    neptuno  
       20 天前
    你应该说这是最安全的浏览器
    abccccabc
        41
    abccccabc  
       20 天前   ❤️ 1
    centbrowser 我现在用的最顺手的 chrome 浏览器。目前我用它的 2.8 版本(老古董了),大部分网页都能正常浏览。
    slamDunkLINk
        42
    slamDunkLINk  
       20 天前
    @abccccabc #41 一直用这个浏览器,但是就是系统版本更新太慢了
    flyqie
        43
    flyqie  
       20 天前
    @Yadomin #39

    实在不行人脑渲染吧(doge)。
    jiaorong
        44
    jiaorong  
       20 天前
    最好用的浏览器是 IE ,
    0o0O0o0O0o
        45
    0o0O0o0O0o  
       20 天前
    @drymonfidelia #35 害怕 RCE 的话应该不能只看单个 CVE 吧? Apple 为高级保护禁用了 JIT ( https://news.ycombinator.com/item?id=32842749 ),JIT 在 Chrome 漏洞利用中也非常重要,project zero 说的 ( https://googleprojectzero.blogspot.com/2021/01/in-wild-series-chrome-exploits.html ):All vulnerabilities used by the attacker are in V8, Chrome’s JavaScript engine; and more specifically, they are JIT compiler bugs. While classic C++ memory safety issues are still exploited in real-world attacks against web browsers, vulnerabilities in JIT offer many advantages to attackers. 当然我不专业,并不确定 Firefox 是不是有什么特别原因让它在这方面天然就比 Safari 和 Chrome 安全。

    > 在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失

    尽管我也用 Firefox ,但如果真的在意这方面,我觉得应该用官方最新版 Chrome ,Chrome 一年支付多少赏金 Firefox 一年支付多少赏金? Chrome 多少用户 Firefox 多少用户?一个软件不会自动变得安全的,是要人要钱的。对于这种角落里的版本,我赞同 #11 ,我认为这是虚假的安全性。
    kiii
        46
    kiii  
       20 天前
    FF 确实很好用,但是速度比 chrome 慢,edge 最好了,但是没有便携版,所以我选择 cent 备用 FF
    msg7086
        47
    msg7086  
       20 天前
    > 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的

    这不就是 CPU 侧信道攻击吗?插了 CPU 的全中招了。
    CczYa
        48
    CczYa  
       20 天前
    @belin520 最新版内置了很多 AI 广告,包括菜单键等,已经影响正常使用了。好像还关不掉。有点儿恼火哟。
    zyscn
        49
    zyscn  
       20 天前
    最好用的是百分浏览器
    liltsy9596
        50
    liltsy9596  
       20 天前
    最近用了 Arc ,挺不错的
    VYSE
        51
    VYSE  
       20 天前 via Android
    FF 从三方收 exp 价格是比较低的,意味着 0day 更容易发现与购买
    Leonkennedy2
        52
    Leonkennedy2  
       20 天前
    Thorium 浏览器路过看看
    drymonfidelia
        53
    drymonfidelia  
    OP
       20 天前
    @VYSE
    @0o0O0o0O0o 那还有什么兼顾隐私和安全的选择吗?
    bollld607
        54
    bollld607  
       20 天前 via Android
    下个月 Chrome 将默认禁用并不允许从 Chrome Web Store 安装 Manifest V2 扩展了,我也不得不转投 Firefox 了。
    xifangczy
        55
    xifangczy  
       20 天前
    啊?非要禁止 wasm 有那么麻烦么。。写个油猴脚本
    WebAssembly = null;
    不就完了么。。
    rulagiti
        56
    rulagiti  
       20 天前
    一直在用 esr 版本好多年了
    1una0bserver
        57
    1una0bserver  
       20 天前 via Android
    op 的逻辑有点逆天,从实现了 wasm 开始的 v8 经常出漏洞=wasm 高危?这明显是 c++老项目堆 bug 的原因吧,你要不看看其他 wasm 的运行时,有几个经常出 cve 的?云原生那边解决安全问题的一种趋势就是把原生代码编译到 wasm 在沙箱里执行,怎么到你这里就成了 wasm 经常出问题呢?而且换一种思路,从浏览器实现了 wasm 到现在正好是勒索软件和黑客活动逐渐增多的时间段,可不可以认为是黑客活动逐渐增多并且盯上了浏览器的原因?
    zhiyu1998
        58
    zhiyu1998  
       19 天前
    我是苹果用的 arc ,Windows 电脑用的百分

    俺去试试 Firefox ESR
    byzod
        59
    byzod  
       19 天前 via Android
    我捋捋哈

    某"武林高手"在一群气血充沛, 身强体壮的小伙子中间挑挑拣拣, 拉出一个老得胡子都掉光的老头, 高兴的宣布:我找到了最好的习武奇才!

    是这个意思吗
    Aawhale
        60
    Aawhale  
       19 天前
    盖个楼哈~

    Here’s a link to download Arc, the browser I was telling you about!

    https://arc.net/gift/9d696be7

    感兴趣的可以下载试试,我纯纯为了拿 icon
    allenby
        61
    allenby  
       19 天前 via Android
    有一个 ungoogle 的 chromium
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   976 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:58 · PVG 06:58 · LAX 15:58 · JFK 18:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.