開源瀏覽器領域出現了許多自稱注重隱私的 Firefox 分支,其中 Zen Browser 是最近獲得關注的新成員之一。然而,今年早些時候發現的一個安全問題在技術社群內引發了關於該瀏覽器安全實踐和其開發團隊經驗的重大爭議。
遠端除錯後門
爭議的核心是發現 Zen Browser 預設啟用了遠端除錯功能,且無需使用者確認。這一配置(已於大約七個月前修復)允許外部連線除錯瀏覽器——這通常是開發者版本和特定開發環境才會有的功能。安全專家認為這是一個重大漏洞,因為它實際上為瀏覽器建立了一個潛在的後門。
開發者最初的回應——我以為這只是讓除錯更容易,抱歉——尤其引起了社群成員的擔憂,這表明開發者對所修改的瀏覽器配置的安全影響缺乏瞭解。
Zen Browser 的主要問題
- 預設啟用遠端除錯功能,無需使用者確認
- 遠端偵錯程式啟動時沒有提示
- 該問題在7個月前已修復,但引發了對開發者專業知識的擔憂
- 該專案以注重隱私為賣點,但配置存在問題
- 社群報告稱其他隱私問題被忽視
社群推薦的替代品
- Firefox 搭配 arkenfox/user.js 和 uBlock Origin
- Librewolf
- Mullvad Browser
信任和經驗問題
社群討論揭示了對該專案整體安全和隱私方法的更深層次擔憂。許多使用者質疑一個據報道由二十出頭的大學生組成的小團隊是否具備維護安全瀏覽器——尤其是標榜為注重隱私的瀏覽器——所需的經驗。
「當 Zen browser 首次在這裡釋出時,我看到背後的人似乎主要是二十出頭的大學生,所以我會因為他們缺乏經驗而對他們寬容,但另一方面,這也是為什麼我永遠不會推薦任何人使用這樣的瀏覽器分支,這就像從 Craigslist 上購買避孕藥一樣。」
這種觀點反映了更廣泛的懷疑態度,即對於沒有像 Mozilla 這樣大型組織豐富安全資源的小團隊維護的瀏覽器分支的懷疑。
對批評的回應
專案維護者對這一情況的處理也受到了審視。在這個問題獲得更廣泛關注後,維護者重新命名了原始問題標題並提供了額外背景,解釋說當 Zen 還是一個玩具專案時,這個配置是有意啟用的,以便在早期開發期間更容易進行除錯。
然而,批評者指出,這一解釋與早期宣告相矛盾,且沒有解釋為什麼一個標榜注重隱私的瀏覽器會預設啟用此類配置。一些社群成員還提出了其他隱私問題被忽視或討論被關閉的擔憂。
替代方案和建議
針對這些擔憂,許多使用者正在為那些尋求注重隱私的瀏覽器的人提供替代方案。建議包括使用帶有 arkenfox/user.js 配置和 uBlock Origin 的原版 Firefox,或更成熟的注重隱私的分支如 Librewolf 或 Mullvad Browser。
這種情況突顯了開源瀏覽器生態系統中固有的挑戰。雖然開源開發允許透明度和社群修復——正如這個問題一旦被報告就迅速得到解決所證明的那樣——但它也要求使用者對維護者的專業知識和對安全原則的承諾給予極大的信任。
對於關心瀏覽器隱私和安全的使用者來說,這一事件提醒人們在選擇替代瀏覽器時,需要研究瀏覽器專案背後的團隊,並考慮功能、定製化和安全專業知識之間的權衡。