![]() | 1 0superx0 2024-05-25 20:29:49 +08:00 ![]() 最适合你的不代表是最好的 |
![]() | 2 HojiOShi 2024-05-25 20:37:38 +08:00 不懂。为什么说 WASM 这个功能高危呢?有几个安全漏洞就算高危吗? |
![]() | 3 loveqianool 2024-05-25 20:39:43 +08:00 via Android ![]() The most of source code of version 10 or later of Floorp Browser, the most Advanced and Fastest Firefox derivative floorp.app |
4 drymonfidelia OP @HojiOShi 从 WASM 功能出现开始就一直不停地出新漏洞,随便搜了一下 CVE-2022-28990 CVE-2021-30734 CVE-2024-4775 CVE-2024-34251 而且这个功能一出漏洞都是高危,可以直接执行远程代码 |
5 drymonfidelia OP @loveqianool 感谢推荐,想知道这个浏览器是基于什么版本 Firefox 制作的,我在主楼提到的几个 bug 修复了吗? |
6 drymonfidelia OP @HojiOShi 连遥测最多的 Edge 都提供了关闭 WASM 的功能,足以说明这个功能多危险了 |
![]() | 7 cmdOptionKana 2024-05-25 20:53:34 +08:00 感谢告知,立即下载了,感觉还不错 |
![]() | 8 MoeMoesakura 2024-05-25 21:22:11 +08:00 “最好用”这可不好,现在一大堆都是以 chrome/v8 的规范写的,用 firefox 就卡的不行(体感最明显的就是 B ,ytb 都没上来 50%cpu ) |
9 OleJienNor 2024-05-25 21:34:39 +08:00 via Android 前端开发同时也是用户啊,如果在网上联名抗议谷歌现在的“不做人”原则,同时提倡用户使用其他浏览器,规范上也可以做出调整。还是能产生一些影响的 |
![]() | 10 smallboy19991231 2024-05-25 21:37:07 +08:00 via iPhone 其果的器挺不的 |
11 ranaanna 2024-05-25 21:56:44 +08:00 ![]() OP 的逻辑有点奇怪。要避免安全漏洞被利用,应该是尽快升级浏览器使其保持最新,而不是关闭“高危功能”。比如 OP 提到的 CVE-2024-4775 ,查到受影响到的是 firefox <126 的版本(相应的 ESR 版可能是 <115.10 )。ESR 版本也要更新到最新才有可能减少漏洞数量,另外 ESR 版是稳定优先,安全更新可能会慢一点,意味着同时期漏洞数量可能会更多 |
12 drymonfidelia OP @ranaanna 是的,要更新到最新才能解决安全问题,但是更新到最新就会出现我主楼提到的一堆严重影响使用的 bug |
13 ntedshen 2024-05-25 22:09:22 +08:00 隔壁民科级保密版块都是拿 wasm 当前端数据安全的最终解决方案。。。 到你这成因为有远程执行漏洞所以太危险了。。。 我的建议是要不你们打一架先。。。 |
14 drymonfidelia OP @ranaanna 补充#12 而 ESR 更新到最新不会出现上面这些 bug ,所以我觉得它很棒 |
![]() | 15 icanfork 2024-05-25 22:12:13 +08:00 via iPhone 最好的浏览器应该是 360 极速浏览器 |
16 0o0O0o0O0o 2024-05-25 22:19:34 +08:00 这么担心被 RCE 的话,考虑禁用 JIT 吗? |
![]() | 17 Lightbright 2024-05-25 22:25:57 +08:00 via Android 参见 chrome html 解析也能出 rce |
18 UFc8704I4Bv63gy2 2024-05-25 22:26:12 +08:00 Firefox ESR 一直是主力浏览器,chrome 系列从来没做过主力,自从 2004 |
![]() | 20 Yzh361 2024-05-25 22:40:03 +08:00 via Android 好多年前就用过了… 现在用 kiwi |
21 z5238384 2024-05-25 22:45:46 +08:00 以外的感觉不错,谢谢楼主 |
![]() | 22 Johnming 2024-05-25 22:51:06 +08:00 感谢,打算尝试 |
23 ntedshen 2024-05-25 22:53:22 +08:00 |
24 drymonfidelia OP @Lightbright 之前 webp 渲染也出过 RCE ,但没有像 wasm 这样每年都出好几个漏洞 |
25 drymonfidelia OP @ntedshen 隔壁哪个帖子?前端密码加密那个帖子吗?我也是支持前端加密没有意义那边的,如果攻击者能截获你的网络流量,自然也能 log 你的输入 |
26 drymonfidelia OP @drymonfidelia #25 修正:也能在篡改网页里插入 log 你输入的代码 |
28 jianchang512 2024-05-25 23:08:16 +08:00 都是从事军事活动的吗,安全级别这么高 |
29 ntedshen 2024-05-25 23:11:55 +08:00 @drymonfidelia 其实我是有些想去隔壁问“但是你们的终极武器现在充满了 cve ,这要怎么办”了(狗头 话说 esr 一遍似乎也就是一年期,估计也快更了。。。 |
30 drymonfidelia OP @Lightbright 另外 html 解析的 rce CVE-2024-0517 需要在关闭 sandbox 下才触发,没什么影响 |
31 drymonfidelia OP @jianchang512 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的 |
32 enihcam 2024-05-25 23:32:27 +08:00 @drymonfidelia 试一下 thorium ,然后再发一篇“我又找到了最好用的浏览器!” |
![]() | 33 YaD2x 2024-05-25 23:42:51 +08:00 ![]() 违法广告法 |
35 drymonfidelia OP @0o0O0o0O0o 没关,查了下 JIT 的 CVE 好像都不能穿沙盒 |
![]() | 36 capgrey 2024-05-26 02:12:30 +08:00 |
![]() | 37 jqtmviyu 2024-05-26 03:51:55 +08:00 @drymonfidelia #5 点进去主页就看到介绍了. 也是 esr. |
38 songunity 2024-05-26 04:08:30 +08:00 最好用的就是 chrome |
39 Yadomin 2024-05-26 04:35:26 +08:00 via Android 我寻思 V8 也挺多漏洞的,要不给 js 也禁用了吧 https://github.com/rycbar77/V8Exploits |
![]() | 40 neptuno 2024-05-26 08:00:01 +08:00 你应该说这是最安全的浏览器 |
![]() | 41 abccccabc 2024-05-26 08:07:33 +08:00 ![]() centbrowser 我现在用的最顺手的 chrome 浏览器。目前我用它的 2.8 版本(老古董了),大部分网页都能正常浏览。 |
![]() | 42 slamDunkLINk 2024-05-26 08:48:37 +08:00 @abccccabc #41 一直用这个浏览器,但是就是系统版本更新太慢了 |
![]() | 44 jiaorong 2024-05-26 10:32:38 +08:00 最好用的浏览器是 IE , |
45 0o0O0o0O0o 2024-05-26 10:53:34 +08:00 @drymonfidelia #35 害怕 RCE 的话应该不能只看单个 CVE 吧? Apple 为高级保护禁用了 JIT ( https://news.ycombinator.com/item?id=32842749 ),JIT 在 Chrome 漏洞利用中也非常重要,project zero 说的 ( https://googleprojectzero.blogspot.com/2021/01/in-wild-series-chrome-exploits.html ):All vulnerabilities used by the attacker are in V8, Chrome’s Javascript engine; and more specifically, they are JIT compiler bugs. While classic C++ memory safety issues are still exploited in real-world attacks against web browsers, vulnerabilities in JIT offer many advantages to attackers. 当然我不专业,并不确定 Firefox 是不是有什么特别原因让它在这方面天然就比 Safari 和 Chrome 安全。 > 在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失 尽管我也用 Firefox ,但如果真的在意这方面,我觉得应该用官方最新版 Chrome ,Chrome 一年支付多少赏金 Firefox 一年支付多少赏金? Chrome 多少用户 Firefox 多少用户?一个软件不会自动变得安全的,是要人要钱的。对于这种角落里的版本,我赞同 #11 ,我认为这是虚假的安全性。 |
46 kiii 2024-05-26 12:41:30 +08:00 FF 确实很好用,但是速度比 chrome 慢,edge 最好了,但是没有便携版,所以我选择 cent 备用 FF |
![]() | 47 msg7086 2024-05-26 12:50:03 +08:00 > 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的 这不就是 CPU 侧信道攻击吗?插了 CPU 的全中招了。 |
49 zyscn 2024-05-26 16:26:37 +08:00 最好用的是百分浏览器 |
50 liltsy9596 2024-05-26 18:08:38 +08:00 最近用了 Arc ,挺不错的 |
![]() | 51 VYSE 2024-05-26 18:36:45 +08:00 via Android FF 从三方收 exp 价格是比较低的,意味着 0day 更容易发现与购买 |
52 8E9aYW8oj31rnbOK 2024-05-26 19:14:15 +08:00 Thorium 浏览器路过看看 |
53 drymonfidelia OP |
54 bollld607 2024-05-26 19:18:14 +08:00 via Android 下个月 Chrome 将默认禁用并不允许从 Chrome Web Store 安装 Manifest V2 扩展了,我也不得不转投 Firefox 了。 |
![]() | 55 xifangczy 2024-05-26 19:21:08 +08:00 啊?非要禁止 wasm 有那么麻烦么。。写个油猴脚本 WebAssembly = null; 不就完了么。。 |
56 rulagiti 2024-05-26 19:44:53 +08:00 一直在用 esr 版本好多年了 |
57 1una0bserver 2024-05-27 00:04:42 +08:00 via Android op 的逻辑有点逆天,从实现了 wasm 开始的 v8 经常出漏洞=wasm 高危?这明显是 c++老项目堆 bug 的原因吧,你要不看看其他 wasm 的运行时,有几个经常出 cve 的?云原生那边解决安全问题的一种趋势就是把原生代码编译到 wasm 在沙箱里执行,怎么到你这里就成了 wasm 经常出问题呢?而且换一种思路,从浏览器实现了 wasm 到现在正好是勒索软件和黑客活动逐渐增多的时间段,可不可以认为是黑客活动逐渐增多并且盯上了浏览器的原因? |
![]() | 58 zhiyu1998 2024-05-27 10:30:56 +08:00 我是苹果用的 arc ,Windows 电脑用的百分 俺去试试 Firefox ESR |
59 byzod 2024-05-27 10:52:56 +08:00 via Android 我捋捋哈 某"武林高手"在一群气血充沛, 身强体壮的小伙子中间挑挑拣拣, 拉出一个老得胡子都掉光的老头, 高兴的宣布:我找到了最好的习武奇才! 是这个意思吗 |
![]() | 60 Aawhale 2024-05-27 11:03:50 +08:00 盖个楼哈~ Here’s a link to download Arc, the browser I was telling you about! https://arc.net/gift/9d696be7 感兴趣的可以下载试试,我纯纯为了拿 icon |
![]() | 61 allenby 2024-05-27 13:03:49 +08:00 via Android 有一个 ungoogle 的 chromium |