免责声明:本文不是指南(也从未如此宣称)、不保证它的可靠性和安全性。如果您不知道自己的操作会造成什么后果,最好不要调整任何内容并离开这里。
版权声明:首图来自维基共享资源,作者:Dietmar Rabich,授权许可协议:知识共享署名-相同方式共享 4.0 国际许可协议,引用自:https://commons.wikimedia.org/wiki/File:Dichroitisches_Prisma_--_2020_--_5123.jpg
现在的时代是互联网时代,是物联网时代。智能设备正在替代传统笨重机械,我们使用的移动电话、冰箱、电视、机器人通过连接网络来获取服务。当我们察觉到网络与科技公司是如此深入生活中时,隐私梦魇也早已到来[1]。
不知何时起那些古旧、不需要网络的电器逐渐退出市场,似乎它们已经不复存在,取而代之的是装饰着小灯泡的物联网设备。但设备连接到互联网后想控制住就很麻烦了,最基本的问题是使用者不知道设备究竟在传输什么东西、如何防止受到攻击。以一台冰箱为例,旧式的冰箱能够随时手动调节温度以符合气候变化,但智能冰箱却要求安装一款闭源应用来调整温度,原本这种功能不需要网络也能执行,但现在不行了,至少在购买产品时需要翻阅使用指南才能买到需要的东西。
可能有个好消息是有许多电器,比如冰箱和空调不需要网络也能正常运行,在不连接到互联网的情况下各种物联网设备也只是只是闪烁的芙兰朵露(LED)罢了。但是物联网仍值得所有使用者警惕:智能电视[2]可能嵌入跟踪器记录节目偏好、智能音箱和语音助手可能记录谈话[3][4]、智能穿戴设备可能记录使用者的行动轨迹。它们有些太过于智能了[5]。
事实上控制智能设备是根本不可能的,某些路由器提供基于Host的粗略过滤功能,如果使用者有这方面的知识可利用路由器过滤掉连接跟踪和广告域名的尝试。但这仅仅是噩梦的开始,比如安装家庭摄像头后该如何保证录像仅保留在自己手中?如果物联网设备使用不安全的HTTP连接或者存在漏洞?保护这一切的只有路由器、简单的路由/Wi-Fi密码,以及可能存在的路由防火墙。
网路跟踪行为超乎想象,即使是单机游戏的使用者也无法幸免。在2018年,数十款PC游戏被发现嵌入跟踪程式。当玩家启动游戏时,跟踪程式将自动采集设备信息并上传至服务器。尽管游戏开发商声称这是为确认广告活动的有效性,但玩家并不买账,并迫使部分游戏开发商移除跟踪程式[6]。
我们都知道「已阅读并同意服务条款」是网络上最大的谎言,而 Terms of Service; Didn’t Read: Be Informed(ToS; DR) 试图改变现状。这是于2012年6月启动的专案,旨在分析流行服务的隐私政策是否透明和友好,评价等级从最好(A)至最差(E)逐级下降[7]。扩展 DuckDuckGo Privacy Essentials 的隐私政策解读功能是和 ToS; DR 合作完成的。而他们也为Firefox和Chrome浏览器开发单独的扩展。
无需联网的软件不应有隐私政策,至少是「数据收集」的描述。软件工程师 Robert Heaton 在调整打印机设置时注意到安装向导包含数据收集功能,根据隐私政策范围包括设备的元数据以及打印文件的信息,这将用于广告服务[8]。
定期检查服务的隐私政策和拥有者是否变更,如果可能向开发者请求解答。
uBlock Origin的隐私政策,这是一款支持 Chromium、Firefox 和 Safari 的高效过滤工具,快速且简洁。
2012年的一项研究(Why Johnny Can’t Browse in Peace: On the Uniqueness of WebBrowsing History Patterns)分析了382,269名互联网使用者的浏览历史,发现大多数使用者(69%)的历史记录是唯一的。而在2020年由 Mozilla 主导的研究再度验证浏览历史具有唯一性,可用于识别浏览者的身份。
德国研究者 Wladimir Palant 指出:通过组合HTTP参照位址(HTTP referer,识别从哪个网站跳转而来)、完整网址、大致地理位置、唯一用户标识符、操作系统和浏览器的版本等信息足以知道您访问过哪些网站,喜欢阅读哪些内容,并可靠地识别您[9]。这位研究者还尝试分析匿名化的数据,识别出大量用户,以及数据拥有者的电子邮件地址、IP地址甚至是疑似家庭住址的精确地理坐标。结束调查后 Wladimir Palant 在见证者的注视下删除所有数据[10]。
通常禁止遥测及其它数据发送功能是非常困难甚至不可能的。2020年的一项研究分析六款主流浏览器在安装后发送的信息指出 Chrome、Firefox 和 Safari 的默认配置不够私密,需要正确调整后才能禁止或抑制跟踪,还有的浏览器会收集硬件信息且无法禁用[11][12]。
有时即使退出遥测也不意味着您的信息不会被上传。2017年3月发布的 Firefox 52 由于崩溃报告中的Bug导致浏览器无视使用者的隐私设置自动上传崩溃报告,由于崩溃报告不是完全匿名的此事引起一些争议。Mozilla在2017年12月28日推送的 57.0.3 版本修复这个错误[13],然后删除这期间收集的所有崩溃报告[14]。此类事情是否也曾经在其它软件出现过呢?只是未被发现以及像Mozilla那样公开承认的并删除所有数据?
小狐狸正在看着你。图片来源:维基共享资源,作者:bilal brzm,授权许可协议:知识共享署名-相同方式共享 4.0 国际许可协议,引用自:https://commons.wikimedia.org/wiki/File:Fennec_of_algeria.jpg
世界上存在着数百种浏览器,但 Firefox 浏览器是最适合低跟踪冲浪的选择。通过调整隐私设置您可以禁用遥测和崩溃报告,或者随时要求删除已回传的数据。高级使用者还能使用参数禁止或启动自己需要的功能,亦或者通过数百种优秀扩展改造和控制浏览器。
浏览器完全有能力记录您的网络冲浪甚至密码。即使Firefox也不是完全可信的,他们曾在浏览器的 about:addons 页面使用(Google Analytics)分析数据。这迅速引起争议:嵌入第三方分析工具而未充分告知使用者,也不能退出或彻底阻止,浏览器是否有权代表用户做出选择?
事件最终以 Mozilla 发布修复程序、遵守请勿跟踪而告一段落[15]。但浏览器跟踪使用者(强制发送遥测)的事情非常普遍,通常闭源浏览器都会这么做。说句无关话题:曾经在阅读隐私政策时曾注意到某款闭源浏览器的英文版本隐私政策注明将自动回传分析数据,而中文版本则没有提供隐私政策。
沒有諱莫如深的隱私權保護政策,更不留下後門給廣告商,純屬一套光速快,又不出賣您的瀏覽器- Mozilla
所谓「不作恶」已经成为谎言,基本每个公司都宣称他们尊重使用者的隐私权,只收集匿名非个人数据。但是隐私新闻仍然不断爆出,包括那些知名的、本用于守卫计算机的安全软件开发商。在一些隐私指南中时常推荐远离邪恶的Mozilla(Firefox),因为它数度做出不利于使用者隐私安全的决定。请注意,如果Mozilla已经是违背尊重隐私誓言的恶魔,那么其它商业公司可能就是「莉娜·茵巴斯」。
基于 Firefox/Chromium 却删除内置的遥测报告和非必要组件的浏览器是否更加安全可靠?考虑到安全漏洞的问题可能并非如此,第三方分支跟随上游修复漏洞需要一定时间[16],而且有时忽略问题也是一种选择[17]。2021年2月Google 释出安全更新修复 Chrome 浏览器的零日漏洞,随后的3月又释出安全更新修复新的零日漏洞[18]。您使用的浏览器多久更新一次?
使用者遗忘或故意拒绝更新的行为也会增加威胁。在2017年爆发的WannaCry勒索程式就成功利用微软已修复的漏洞发动攻击,因为许多使用者都未安装补丁(直到中招)。
特殊页面跟踪:在2017年,Firefox使用者发现浏览器的 about:addons 页面使用(Google Analytics)跟踪器,而且附加组件也无法阻止此跟踪。Mozilla表示他们签订法律合同以防止遥测数据遭到滥用,但是主要问题在于没有提供明确加入/退出选项。
收集冲浪数据:在2017年,1%的德国使用者(不包含现有使用者)下载的浏览器将自动集成Cliqz附加组件。尽管扩展是开源的,但是它属于商业公司且会自动回传冲浪数据。德国安全专家 Mike Kuketz 指出:安装实验版本的使用者(不包括IT极客)大概率无法注意到存在什么不同,稀里糊涂就提交冲浪数据[19]。
自动安装扩展:在2017年,Mozilla决定送给大家一个惊喜。英语使用者发现浏览器自动安装一款名为「Looking Glass」的扩展,启用后将可以访问特别解谜小游戏。这个扩展是送给电视节目《Mr. Robot》观众的礼物,但是Mozilla的问题在于自动推送扩展而非由使用者自行安装。
普通使用者的需求是日常冲浪时尽可能保障隐私安全的浏览器,即使首次接触网络的使用者也能较为安全使用。Firefox具有较严格扩展审核、稳定更新、开放源代码、不出售使用者数据、不可能被收购等优势。而且部分隐私安全的附加组件及功能仅有 Firefox 浏览器提供支持,切换至其它浏览器时无法获得替换品。
Mozilla承诺所有使用者都能获得《加州消费者隐私法》(California Consumer Privacy Act,缩写:CCPA)的保护,这是美国最严格的隐私立法[20]。最直观区别就是当您退出遥测报告时所有已回传的遥测数据将在30日内删除[21]。
简而言之:从「www.firefox.com.cn」下载的是谋智版,而从「www.mozilla.org」下载的是通用版。两款浏览器在代码层面是没有任何区别的。谋智火狐预装几款扩展以改进使用者体验,包括主页也基于使用者习惯有修改[22]。如果您具有一定的网络冲浪经验,推荐使用通用版,反之则推荐谋智版。
通用版Firefox的同步服务可能因网络原因故障,而谋智火狐一定程度缓解此问题。
同步服务与通用版不兼容,因为谋智火狐使用独立同步服务器。
谋智火狐的默认主页据报道有着较多的推广[25],而通用版Firefox无此现象。
图为谋智火狐的主页及宣传,下拉至底部您将看到「北京谋智火狐信息技术有限公司 版权所有」的字样。
苍月(Pale Moon):非营利的开源浏览器,没有数据收集和广告。虽然基于Firefox的代码开发但却存在很大差异,苍月保留许多已被上游放弃的功能,包括高度客制化的使用者界面以及继续支持一些已淘汰的技术,比如允许安装和运行NPAPI插件。苍月使用者面临的主要问题是安全漏洞,开发者修复漏洞需要一定时间[26],对部分使用者而言需要考虑[27]。
水狐(Waterfox):基于Firefox开发,在2011年3月由 Alex Kontos 创建,致力于保持隐私和可用性之间的平衡。根据安全专家Mike Kuketz的分析,水狐删除遥测功能且不会跟踪使用者,但是它的安全更新相较于上游(Firefox)会有短暂延迟[28]。广告公司System1在2019年12月收购水狐浏览器[29]。
LibreWolf:旨在尽可能减少数据收集和遥测开源浏览器,是基于Firefox开发。对于隐私的要求近乎偏执,内置不跟踪搜寻引擎和内容过滤扩展 uBlock Origin,为避免非必要请求甚至没有自动更新功能。它不适用于那些已经习惯主流浏览器的使用者,而善于手动控制计算机的使用者可能会喜欢[30]。
铱星浏览器(Iridium Browser):不跟踪使用者的浏览器,基于Chromium开发。基于隐私考虑删除自动更新功能、部分由Google提供的服务以及专有组件,因此使用者可能会遭遇扩展程序无法更新、部分音频和视频无法播放的问题。还有个问题在于相较于上游可能延迟数日或数月发布更新,在此期间可能存在已知安全漏洞威胁使用者[31]。
图为苍月浏览器官方网站的背景。图片来源:https://www.palemoon.org/
Federated Learning of Cohorts是一种由 Google 提出并实现的新型跟踪方法,用于替代存在隐私问题且不再那么优秀的第三方Cookie[32]。Mozilla 的分析报告指出该技术尚不完善,泄露的信息足以使得网站跟踪单一用户[33]。目前 Firefox、Edge、Brave[34]、Safari[35] 和 Vivaldi[36] 浏览器都已经拒绝这一新的隐私提案,只有 Chrome 浏览器选择部分地区0.5%的使用者默认启用此实验性功能。电子前哨基金会(EFF)创建一个网站帮助检查是否受到FLoC跟踪,目前在浏览器中选择「禁止第三方Cookie」即可退出此测试[37]。
uBlock的使用者可在隐私规则中启动「Block access to LAN」防止潜在的跟踪。最初这是实验性的反跟踪规则,现今已经成为内置隐私规则之一,相信其足够稳定。不过目前其它过滤扩展尚未内置此规则,但是您可以选择添加自定义规则(如果兼容的话)。
2021年2月,uBlock删除内置中文过滤规则「EasyList China」和「CJX's EasyList Lite」。更新日志注明前者的主页已经停止向公众开放,而后者在GitHub的更新已经停止,经过讨论决定移除两个规则列表使用新的内置规则「AdGuard Chinese」处理广告。大多数使用者应该不需要调整任何内容,但如果您需要订阅CJX规则请访问作者在GitHub的主页,目前规则已经恢复更新。
解决Chrome显示「由贵单位管理」或Firefox显示「您的浏览器正由组织管理」的问题。
Chrome:删除注册表路径: \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\EnabledPlugins 文件夹。
Firefox:删除注册表路径: \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Mozilla 文件夹。
问题原因:已知Avast的「加密流量扫描」和「QUIC/HTTP3协议扫描」功能是 Firefox 弹出警告的原因[38]。但是有使用者表示禁用这两项功能和删除注册表无法解除故障。而 Chrome 的故障原因比较复杂,已经有数款软件被认为可能是故障源头。您可以在网络上找到其他使用者解除故障的过程和方法。在 chrome://flagsconfig 中将参数修改为Disabled只是隐藏浏览器的提醒,并未实际解决问题[39]。
以下扩展适用 Firefox 84/Chrome 88 浏览器,不适用智慧型手机的版本。这仅仅只是部分推荐,您按需选择即可。
uBlock Origin:高效的请求过滤工具,阻止广告和跟踪器。安装时将自动订阅核心规则确保开箱即可用,您应该不需要执行任何操作。在意隐私的使用者请勾选禁止预读取、禁用超链接审计和屏蔽 CSP 报告选项。但是在Chromium 51及更高版本(包括基于Chromium 51及更高版本的浏览器)上禁止预读取功能不完全可靠[40][41]。
ClearURLs:移除URL中的跟踪参数和搜寻引擎的跟踪重定向,同时禁止超链接审计等跟踪动作。开发者表示此扩展的过滤更加全面,开源且不收集任何数据。在默认设置中会屏蔽常见的广告域名,因此反广告过滤的网站可能会异常,涉及选项「域名屏蔽」。
LocalCDN:保护您免受CDN跟踪并辅助其它过滤器,是 Decentraleyes 的分支。具有比其他同类型扩展丰富的资源和功能支持,支援 Firefox浏览器。不过您仍可在 Chrome 浏览器安装此扩展,但那是其他人代为发布的版本[42]。
CanvasBlocker:仅适用于Firefox浏览器,防止某些网站利用 Javascript API 来进行浏览器指纹识别。安装后提供便捷设置、隐身设置和保护最大化三种预设选项,请选择您需要的保护级别并点击「应用」。另外非常不推荐调整此扩展的设置,这可能失去安全保障。
User Agent Switcher:仅适用于 Firefox 浏览器。欺骗浏览器的 User Agent 从而干扰跟踪或者绕过网站的限制。但是请注意此扩展不会使您的浏览器神奇地变成另一个软件,如果它不支持网站的某些功能那么调整 UA 不会产生任何变化。
Chameleon:适用于高级使用者,仅适用于Firefox浏览器。提供欺骗浏览器配置及控制浏览器自身隐私选项的功能。您必须手动调整配置(作用于所有网站)抵御跟踪,可能会造成某些网站破损,此时请加入白名单。
暴力猴(Violentmonkey):开源的用户脚本管理器,是Tampermonkey的替换选择,适用于所有主流浏览器。如果您不使用任何脚本,则不需要安装此扩展。但是请注意暴力猴的兼容性可能不如闭源的Tampermonkey。
uMatrix:适用于高级使用者。它允许使用者完全控制浏览器,通过点击拦截/放行。您可以在卡饭论坛和GitHub获得其他使用者分享的规则。目前此扩展已经存档进入不活跃状态,但仍然稳定且得到维护[43]。
HTTPS Everywhere的图标,图片来源:电子前哨基金会(EFF),仅用于非商业性的使用。
AdGuard:商业公司提供的开源广告过滤扩展。提供自毁Cookie、剥离Referer、阻止遥测等隐私增强工具。此扩展需要适当调整更好保护隐私安全。
Font Fingerprint Defender:通过报告假值来防御字体指纹跟踪。此扩展似乎是开源的,但是无法找到源代码。取决于您的反跟踪方案,完全随机的指纹可能适得其反。
Canvas Fingerprint Defender:通过报告假值来防御画布指纹跟踪。此扩展似乎是开源的,但是无法找到源代码。取决于您的反跟踪方案,完全随机的指纹可能适得其反。
AudioContext Fingerprint Defender:通过报告假值来防御音频指纹跟踪。此扩展似乎是开源的,但是无法找到源代码。取决于您的反跟踪方案,完全随机的指纹可能适得其反。
对于Chrome浏览器使用者,可将设置-杂项部分的按钮全部启用,为此您需要按图所示先启用「隐身模式」。
Skip Redirect:如果可能便删除URL中的重定向以保护隐私,但是不适用于复杂的跟踪链接。在特殊情况下可能导致奇怪的故障,必须暂时禁用此扩展以缓解问题。
NuTensor:目前尚不处于活跃状态的扩展,是已存档的隐私安全扩展uMatrix的分支,目前没有必要安装,因为上游仍然足够稳定,但在未来可能会是高级使用者的必需品。
NoScript:复杂的界面令很多使用者困惑且仅能控制脚本。净化跨站脚本(XSS)攻击的独有功能和稳定维护是胜过其它同类型的扩展的部分,但是在uMatrix尚能正常使用的情况没有必要理由选择它。
隐私獾(Privacy Badger):电子前哨基金会开发的一款自动化、非商业性的隐私扩展,当您冲浪时自动阻止跟踪器。在默认禁用本地启发式学习功能后隐私獾已经和其它基于内置规则过滤的扩展没有太大区别,因此它没有被列入推荐扩展。
Cookie管理器:没有推荐这方面的附加组件理由很明确,简单地删除cookie对防止追踪没有什么作用。而且大多数使用者(我想这不需要证据)相较于每天或几天登录一次账号更乐意选择自动登录,对于激进使用者而言在关闭浏览器时自动或手动清理所有记录是更好选择。这些附加组件完成了它们的工作,但在跟踪保护方面没有什么改进。
图为隐私獾(Privacy Badger)的标志,这款扩展受到上百万使用者的青睐。
Fingerprint Defender系列的扩展由 ilGur 开发,他是扩展 Smart HTTPS 的开发者,但是源代码在哪里仍是个问题。虽然在 GitHub 已经有使用者提出类似疑问(Where is your other extensions source code?),不过开发者并未回复。
默认设置中 Privacy Badger(新版)已经禁用「在您浏览时学习屏蔽新的追踪器」功能,因为这存在潜在隐私安全问题。
内容过滤扩展 uBlock Origin 支援所有的主流浏览器以及分支(未经兼容性测试),但是根据作者 Raymond Hill 撰写的帮助文档指出在基于 Chromium 的浏览器中 uBO 的部分功能不受支持或无法可靠运行,而在 Firefox 浏览器上所有功能都得到完美支持,它的过滤效果是最佳的。阅读下面的文档以便进一步了解。
随着时间流逝及安装扩展数量的增加难免会出现一些故障,比如图中的「Privacy Possum」已经因停止更新而出现各种问题。
Ghostery:用于屏蔽广告和跟踪器,直到2017年为止由营销分析公司 Evidon 拥有并且因出售使用者数据给广告公司而颇受争议[44][45]。德国 Cliqz International GmbH 收购此扩展后公开源代码,在2018年7月起通过向使用者展示广告的方式营利[46]。
WOT - 安全网上冲浪:当安装此扩展后将可对访问的网站进行评级,同时以交通信号灯的方式提供预警。德国安全专家 Mike Kuketz 在2016年11月发表分析指出WOT扩展正在跟踪使用者[47],随后Mozilla[48]和Google删除此扩展。在2016年12月/2017年2月,分别于 Chrome 和 Firefox 浏览器的附加组件列表恢复上架[49]。
Stylish:知名的用户样式管理器,但是原作者在2016年8月将其出售,随后该扩展被发现收集使用者的浏览数据[50]。建议您移除此扩展并迁移至Stylus,这是一款开源的扩展,并且志工们已经完成中文本地化。
Nano Adblocker/Nano Defender:基于uBlock开发的增强反广告过滤工具。在2020年开发者将 Chrome 扩展出售,随后的控制者将其用于恶意目的[51][52]。虽然 Firefox 浏览器的分支 Nano Defender for Firefox 由另一位开发者在维护(仍然安全)[53],然而依旧强烈建议您迁移至uBlock Origin。
购物助手:检查您的购物清单并避免网上购物上浪费金钱(这听起来似乎很美好),而且一切都是免费的?但是开发者 Wladimir Palant 指出:由于存在大量在线商店,维护购物助手是一项非常繁琐的工作,而您支付的货币是自己的隐私[54][55][56]。
防毒扩展:保障您在网络冲浪时不受危险网站的侵扰?事实上主流浏览器已经恶意/钓鱼网站保护功能,仅在必要时回传有限数据。而且没有证据表明防毒扩展在拦截恶意网站方面比浏览器保护(通常是 Google 的服务)及DNS供应商的效率更高。
Canvas Defender:抵御画布(Canvas)指纹跟踪的扩展,最后更新于2017年7月。由于长期缺乏维护,现已确认它会增加攻击面、使得指纹识别更加容易[57]。强烈建议您将其移除并迁移至CanvasBlocker。
Privacy Possum:最后更新于2019年7月,现已确认会造成网站破损及 Cloudflare DDoS保护陷入死循环[58]的问题。Chrome 版本已因不明原因被删除。
旧版本扩展很容易成为攻击目标。2018年7月17日,Adblock Plus 引入了$rewrite过滤器选项。开发者 Armin Sebastian 披露此功果可能遭到滥用,在网页中执行任意代码。受影响的扩展包括:Adblock Plus3.2-3.5.1版本,AdBlock3.32.0-3.44.0版本,uBlock(不是uBlock Origin)0.9.5.11-0.9.5.14版本[59]。如果您正在使用上述版本的扩展,应当尽快更新。
过滤规则不但可以屏蔽广告,也可能执行恶意行为。在2018年,芬兰语过滤规则「FIN: Finnish Addition to Easylist」的维护者基于私人理由而利用此规则封锁几个无害网站,对此uBlock 的开发者认为这辜负信任[60]。
尽管Privacy Possum是推荐扩展,但却已经无法正常运行,类似的因开发者无力维护而失效扩展有很多。
User-Agent Switcher:名称仿冒Firefox的开源扩展并发布于Chrome应用商店。 Reddit 的几位使用者在2020年发现这款恶意扩展[61]。
The Great Suspender:适用于Chrome的扩展程序,用于暂停不活跃的标签页。在2020年6月维护者将该扩展出售给未知身份的控制者,随后成为恶意程式[62]。尽管Google已经删除此扩展,但仍可能留在很多使用者的计算机中[63],请手动检查并移除。
99%的广告过滤扩展都是恶意的,它们只是基于开源扩展添加恶意代码而已。2017年一则新闻指出约 37,000 名Chrome用户安装的Adblock Plus是伪造的[64]。 AdGuard 工程师在2018年时发现超过2000万用户安装虚假广告拦截器[65]。
任何附加组件商店都无法保证安全性。Firefox的广告过滤扩展经常使用「終於出現了,一個高效率的阻擋器,使用不多的 CPU 及記憶體資源」作为自我宣传,但其实这段话是 uBlock 的说明简介。另外修改User-Agent的扩展同样存在问题,尤其是Chrome浏览器。
2014年的一篇新闻指出广告公司正在收购Chrome扩展程序,利用静默更新的特征推送暗藏恶意代码的新版本。除非开发者主动推送通知,否则使用者永远不会得知扩展的所有权已经转移或者说自己被卖掉了[66]。
uBlock Origin是最优秀的广告过滤扩展,没有任何理由去使用其它反广告工具。
开发者 Raymond Hill 曾撰写文章 uBlock Origin还值得信任吗?列举为何uBlock不能也不会收集任何数据,以及如何评估扩展安全性。
前往科技新闻网站,比如 Slashdot、gHacks 搜索想要安装的扩展是否存在负面新闻。对于较新的扩展不妨检查下评论区的低星评价,如果存在警告其他访客不要安装的评论请谨慎考虑下一步[67]。
uBlock的开发者列举几条判断扩展是否可信的标准。引用自:https://github.com/fang5566/uBlock/wiki/uBlock-Origin-%E8%BF%98%E5%80%BC%E5%BE%97%E7%9B%B8%E4%BF%A1%E5%90%97%EF%BC%9F
在地址列输入 about:config 并按下 Enter键
browser.compactmode.(分隔)show = true;允许使用者在「自定义工具栏」中恢复传统的紧凑模式。
security.secure_connection_icon_color_gray = false;恢复传统HTTPS绿色挂锁。
browser.proton.enabled = false;恢复传统用户界面(UI)。
webgl.disabled=true;禁用WebGL。
security.tls.version.min = 3;
network.prefetch-next=false;禁用预读取。
network.dns.disablePrefetch=true;禁用 DNS 预读。
network.http.speculative-parallel-limit=0;禁用投机性预连接。
network.connectivity-service.enabled=false;禁用网络检测。
network.captive-portal-service.enabled=false;禁用网络检测。
network.IDN_show_punycode=true;避免陷入难以察觉的钓鱼攻击。
browser.aboutHomeSnippets.updateUrl=(双击设为空值);禁用Firefox小片段。
browser.send_pings / beacon.enabled=false ;禁用链接审计(hyperlink auditing)
extensions.pocket.enabled = false;禁用Pocket组件。
extensions.screenshots.disabled =true;禁用屏幕截图功能[68]。
media.navigator.enabled = false
media.peerconnection.enabled = false
media.peerconnection.turn.disable = true
media.peerconnection.identity.timeout = 1
media.peerconnection.video.enabled = false
media.peerconnection.use_document_iceservers = false
高级安全参数:除非您知道自己在做什么且知晓将面临的故障和性能问题,否则请跳过此段落。
security.family_safety.mode = 0;禁用Microsoft家庭安全(适用于Windows 10)。
security.tls.enable_0rtt_data = false;缓解潜在的攻击,这将提高安全性但可能造成一定的延迟。
dom.event.clipboardevents.enabled = false ;避免网站知晓您选中网页哪一部分,但会造成某些网站无法正常运作。
javascript.options.ion = false;禁用即时编译,这将提高安全性但可能大幅降低某些网站的性能。
javascript.options.baselinejit= false;禁用即时编译,这将提高安全性但可能大幅降低某些网站的性能。
pdfjs.enableScripting = false;禁止在PDF文件中执行JavaScript,这用于防止某些潜在攻击,但是可能造成故障[69]
调整参数可能导致无法预料的问题!如果您不确定自己在做什么,请勿进入参数控制台!
常规-采用数字版权管理(DRM)的内容:此组件(闭源)是访问加密视频所必须的。禁用或移除此组件可提高隐私安全,但是将导致某些视频网站无法正常工作。对于普通用户,不要调整此选项。
常规-浏览:禁用浏览时推荐扩展和新功能。不明白该选项有什么用,骚扰用户?尽管在隐私政策中 Mozilla 声明完全在本地完成,但是我不喜欢被打扰,关闭它。
增强型跟踪保护:新手推荐保持默认(标准)。在自定义模式选择「所有第三方Cookie」可进一步阻止跟踪,但将造成某些网站破损。此功能不足以保护您远离跟踪器,推荐配合uBlock等扩展使用。
Firefox 数据收集与使用:下图的选择允许浏览器自动回传分析数据但免于打扰。如果您不希望上传遥测报告,请选择取消所有勾选。在地址列输入 about:crashes 并按 Enter 键可查看已发送的崩溃报告。而输入 about:telemetry 可查看已发送的遥测报告,储存的遥测数据将保留13个月,当您退出时将在30日内删除。
由于Google反复修改用户界面的关系,此段落不适用于过低版本的浏览器,在未来亦可能变得不适用。
同步功能和 Google 服务:建议关闭「自动补全搜索字词和网址」「帮助我们改进 Chrome 的功能和性能」「改善搜索和浏览体验」这三个选项。以上功能将会自动回传数据,但是多数使用者不需要以上服务或弊大于利。
Cookie 及其他网站数据:推荐启用「阻止第三方 Cookie」选项,这将阻止部分跟踪器。同时禁用 「预加载网页,以便实现更快速的浏览和搜索」选项,这是非必要的功能。
网站设置:建议禁止「动态传感器 的权限,已经有评价较差网站尝试使用动态传感器,推测试图利用此权限跟踪。如果您仅日常浏览文字和视频,还可禁止网站访问 位置信息、摄像头、麦克风和USB 设备。
清理计算机(高级)[70][71]:适用于 Chrome 65 及以上版本,请按图所示取消勾选。随后检查浏览器目录下的「SwReporter」文件夹,将其删除建立同名文件夹占位并设为只读。此功能将不再可用。
知名开发者 Raymond Hill 指出[72][73]:使用过滤工具不是一种偷窃行为。无论"温和"与否,现如今在您浏览大多数网站的时候广告都是最显而易见的侵犯隐私行为。uBlock Origin 的主要目的是帮助用户抵御这种侵犯隐私的行为,针对的是那些不想用更具技术、更复杂的方法(比如 µMatrix)解决问题的用户。
如果过滤工具是否对于保护隐私有效果,不妨看看下面由张由 Raymond Hill 截取图像:一个未经过滤的网页加载124个域名的资源,但是在使用uBlock禁止大部分域名、只保留3个网站本身的域名的情况下页面仍可正常渲染。这些第三方域名多数是跟踪器,屏蔽它们有助于保护隐私安全。即使您完全不在乎跟踪,那么另一个消息是屏蔽跟踪器能够显著增加页面加载速度,来自
图片来源:https://github.com/fang5566/uBlock/wiki/%E6%8A%80%E5%B7%A7%E5%92%8C%E6%8F%90%E7%A4%BA
您可能已经注意到两款名称相似的扩展uBlock和uBlock Origin,而且前者处于UBO的封锁列表中。这两款扩展都是 Raymond Hill 所开发的,在厌倦无尽维护工作时将 uBlock 转交给另一位维护者 Chris Aljoudi。不过 Aljoudi 的维护工作令创建者 Hill 不满,后者便创建新的内容过滤器 uBlock Origin 并宣布两个扩展毫无关系[74]。在2018年7月,uBlock 被另一反广告扩展 AdBlock 收购。
Adblock Plus是最知名的反广告工具,但是「可接受的广告」计划令其至今仍颇受争议。此功能用于显示非侵入式部分广告作为妥协,因为免费的互联网一定程度得到广告业支持,不过这与反广告的初衷相悖[75]。反广告公司 AdGuard 表示该计划的初衷有着积极一面但不支持此计划,他们选择出售授权许可营利,同时内置规则允许使用者放行搜寻引擎和网站自我推广的广告[76]。而安全专家 Mike Kuketz 对「可接受广告」也持反对态度[77]。
uBlock支持所有主流浏览器,包括:Chrome,Firefox,Edge,以及其它支持Chrome应用商店的浏览器。
uBlock完全开源且拒绝一切营利(甚至不接受捐款),不需要回传任何数据、也没有自己的服务器或网站。它的隐私政策相当简单:uBlock Origin不收集任何形式的任何数据。
uBlock的资源占用较多数同类型工具更低,在广告加载到浏览器之前将其屏蔽节省流量。您可以订阅适用于AdGuard、Adblock Plus的规则甚至是主机名(Hosts)规则,拦截已知的跟踪器、广告和有风险的网站。
反广告软件的扩展版本(例:AdGuard)或者 uBlock 可以更好禁止广告和跟踪器,而且所需的权限更低,除非您正在使用 IE 或其它不支持附加组件的浏览器。
反广告软件必须安装伪证书才能进行HTTPS过滤,但是就和防毒软件的伪证书进行TLS扫描的动作一样存在安全问题[78]。如果您不安装伪证书那么广告过滤效果、尤其视频广告将会显著下降。目前仅知 AdGuard 正在研究降低此威胁的方案(预计2021年推出)[79],其它软件未知是否考虑到此方面的安全问题。基于隐私安全考虑停止HTTPS过滤是非常有必要的。
Flash:卸载Flash Player将有助于保护您的系统安全,因为它已经不再得到安全更新。在已停止支持的浏览器和操作系统上您可能需要手动卸载。由于多数用户已经卸载Flash插件,因此仍安装此插件的浏览器很显眼,同时 Flash Cookie 可作为持久化跟踪方式。访问:Adobe Flash Player End of Life 进一步了解为何此程序已停止维护及官方建议。
WebGL:该功能得到主流浏览器的支持,但可能创建独特指纹。Firefox 浏览器可使用参数禁用禁用WebGL,而 Chrome 请使用命令行--disable-webgl 禁用。IE 11 默认启用此功能并且无法禁用。
请勿跟踪(DNT):内置于主流浏览器的一项功能,曾经在 IE 中默认启用。该功能告诉网站您不想让它们跟踪您的浏览行为,但是请注意是否尊重 DNT 是自愿的,多数网站不会因该设置而停止跟踪。苹果在2019年3月将此功能从 Safari 中删除,因为DNT因启用率较低反而使得跟踪更加容易[80]。Chrome 默认不启用DNT功能,而 Firefox 使用者需在「about:config」中调整参数将其彻底禁用。
privacy.donottrackheader.enabled = false privacy.trackingprotection.enabled = false
全球隐私控制(GPC):部分浏览器和扩展可能会向网站发送新的请勿跟踪信号GPC。此功能目前在美国加利福尼亚州和欧盟以外地区的基本是无意义的,因为它依赖于司法部门和法律对企业的数据收集行为约束。由于DNT的前车之鉴,禁止非必要请求可能更有价值,已知自动发送GPC的扩展/软件包括:隐私獾、AdGuard 和 DuckDuckGo Privacy Essentials。
user.js:调整Firefox配置文件以全面强化隐私安全、降低攻击面,同时尽可能减少网页破损的可能性。它会极大更改浏览器的行为,即使专家也无法保证自己的操作是正确的,任何多余调整都可能适得其反。如果您是高级使用者,请访问Wiki页面了解必要信息。
对于是否要使用密码管理器及使用哪种服务并无一致看法。由于这涉及您的金钱、隐私安全,且多数高级服务需要付费,这里不列举任何密码管理器,而是贴出安全专家们的看法及一些新闻报道供您参考。
卡巴斯基:Wladimir Palant的分析(2018);Jean-Baptiste Bedrune的分析(2021)
LastPass:Wladimir Palant的分析(2018);Wladimir Palant的分析(2019);Mike Kuketz的分析(2021);Wladimir Palant的分析(2021)
Chrome/Firefox同步:Wladimir Palant的分析(2018);Google禁止第三方浏览器使用私有同步API(2021)
隐私模式:浏览器的「隐私模式」原理是禁用附加组件,以及退出时自动清除Cookie、密码和历史记录,它无法使您在互联网上匿名、免受键盘记录器和间谍软件的攻击。禁用附加组件可能使得浏览体验变差,因为广告和跟踪器未经屏蔽。Firefox使用者可参考「关于隐私浏览的常见误区」这篇帮助文档。
HTTPS/TLS扫描:第三方防毒软件可能导入伪证书扫描加密流量,但是研究(The Security Impact of HTTPS Interception)表明这种做法存在安全问题,Google/Mozilla的工程师也是这项研究的参与者。在2019年,开发者 Wladimir Palant 在博客中再度指出TLS扫描存在着安全性问题[81]。如果您想禁用防毒软件的TLS扫描,访问Firefox帮助文档:如何针对安全网站的错误码进行故障排除可以获取更多信息,或者您可以寻求技术支持。
信任网络:「预警冲浪者所访问网站的声誉并拦截潜在风险」— 钓鱼网站的存活时间不足以进行信誉评级、被骇客控制的网站则不会触发信誉。封锁信誉较差的网站甚至uMatrix就能做到:内置的主机名(Hosts)规则能够禁止信誉不良的网站,这一切都在本地完成。不需要这些所谓的「安全」扩展。
Mozilla在2018年8月9日的博客文章[82]中推荐名为「Web Security」的反钓鱼扩展,其安装量超过22万!但是几位研究者经过分析指出该扩展正在悄悄上传使用者浏览历史[83]。安全专家 Mike Kuketz 在分析五款防毒软件厂商提供的扩展后指出这些扩展会提交完整的URL[84],另一位研究者 Wladimir Palant 分析更多防毒扩展后发现类似的隐私或安全方面的问题[85]。
uMatrix的效果远胜过于任何安全扩展,即使有些偏执的使用者也承认此扩展太棒了!
前Mozilla工程师 Robert O'Callahan 在博客建议卸载一切第三方防毒产品,只需保留微软内置的安全工具即可,因为曾出现防毒软体阻碍Firefox推送安全更新的事故[86]。而早在2012年Mozilla的工程师 Nicholas Nethercote 就表示出现过安全软件安装的附加组件拖慢Firefox,但用户却误以为是浏览器的问题[87]。
知名开发者 Wladimir Palant 披露多种安全厂商的扩展程式的漏洞或其它问题[88]。而过往的一项研究指出防毒软体拦截TLS连接的做法可能造成安全隐患[89]。德国研究者 Mike Kuketz 曾撰写数篇文章批评防毒软体[90],有着更多关键措施抵御攻击和弥补薄弱处,但是也指出对于普通用户而言防毒软体仍是对抗恶意软件的主要保护措施之一[91]。
Windows 10已经内置免费的防病毒工具Microsoft Defender和Windows Firewall。有经验的使用者足以借助这些工具保护自己,但是普通使用者仍推荐安装具有更加友好用户界面第三方防毒产品。另外付费并不意味着您不必担忧任何事,仔细阅读隐私政策和负面新闻有助于挑选适合自己的产品。
除非您下列操作可能造成怎样的后果,以及自己会面临的风险,否则请跳过此段落。不当调整防毒软件设置将削弱防御,使得计算机更加容易受到入侵甚至安全厂商提出的某些承诺无法生效,比如入侵后的赔偿。再度提醒:本文不是操作指南。
卡巴斯基:除非您知道自己将面临的风险,否则请跳过此段落。
移除卡巴斯基自动安装的扩展,这不是必要的组件且闭源。具体原因请见:
禁止「注入指令码到网页流量」「扫描Mozilla 应用程式流量」和「扫描加密连线」这三项功能,具体原因请见:Kaspersky in the Middle – what could possibly go wrong?
应用程式控制:取消勾选 「信任具有数字签名的应用程式」,这将增加计算机安全性。但是可能造成某些小故障或者繁琐操作。
卡巴斯基安全网络:您可以在此加入或退出卡巴斯基的云安全网络。当您启用此用模块将自动回传一些数据供分析。禁用后将不再回传此模块相关数据,但同时不再得到云端保护。不推荐您禁用此模块,除非您知道这样做会发生什么。
禁用此模块可能导致很多问题!比如更加容易受到入侵或者遗漏某些已知恶意程式,造成计算机被感染!
Avast:除非您知道自己将面临的风险,否则请跳过此段落。
红色:推荐取消勾选的非必要数据上传,绿色:您自行决定是否取消的可选数据上传。图片来自其他使用者的分享,不保证此设置的位置和有效性。
卡巴斯基:您必须购买卡巴斯基的的高级版本才可使用此组件,免费版使用者请略过。由于卡巴斯基没有「允许应用程式通信前提示」的功能,您必须手动配置规则,否则防火墙将自动判断程式安全性并创建规则。
点击绿色箭头指向处打开「应用程式规则」即可手动调整规则,但是请注意可能需要重启目标程式防火墙规则才有效。
不当操作可能造成某些软件故障,请确保您明白自己在做什么。
Windows 7及以上的操作系统内置使用者账户控制(UAC)功能限制管理员权限,请保证此功能已经启用并且安全等级在默认或以上。即使您已经以「系統管理員」登录计算机UAC仍然是有效运作的,因此请不要关闭它,即使有些烦扰。
保持浏览器、防毒软件和操作系统是最新的。当浏览器/防毒软件已经停止开发或者无法及时跟随上游项目修复安全漏洞,您应当考虑切换至其它服务。例如使用 Firefox、Chrome 、Brave、Edge 等主流浏览器。
使用广告拦截器并启用浏览器的「拦截弹出窗口」功能。有些攻击者利用广告欺诈您购买不存在的商品,或者诱导下载恶意程式[92]。因此最好的方法是屏蔽所有广告,然后将您信任的网站列入白名单。
您还可以将安全性未知的链接和文件上传至在线多引擎扫描服务(比如:VirusTotal),它使用多种不同防毒引擎检分析检查并提供报告。如果大量防毒软件判断链接或文件存在威胁,您需要多加注意这是恶意程式的可能性。但是这并非万无一失,面对全新的恶意程式或者广告软件可能无法有效检测。
注意:VirusTotal和其它多引擎扫描服务会记录上传的文件和链接并分享给合作的防毒软件开发商分析。因此不要将重要的内容上传!
这款扩展能够显示网站的伺服器位置旗帜及其它信息,基于这些信息使用者可以大致判断访问的网站是否为自己想要查看的。比如Mozilla基金会的伺服器位于美国,而谋智火狐的伺服器位于中国,由于两者的网页基本无异混淆部分使用者,而如果安装有Flagfox就能轻松区分两者。除此之外Flagfox还可预防网络钓鱼,比如某个网站的看似位于英国,但是伺服器位置却显示来自火星。除非它的创建者是伯特兰·罗素,否则有理由相信这是钓鱼站点。
qBittorrent:免费且开源的BitTorrent协议下载工具。于2006年3月创建(至今活跃)、支持所有平台且翻译为约70种语言。该软件完全由志愿者在业余时间开发,不存在任何广告或者窃取隐私的行为。但是请注意微软的防毒工具可能将qB错误标记为恶意程式,如果遇到无法安装或启动的问题请检查WD的隔离区[93]。在 GitHub 有一款增强反吸血的分支:qBittorrent-Enhanced-Edition
Microsoft商店(Microsoft Store)中的付费 qBittorrent 是仿冒程式,切勿购买和安装此程式[94][95]。如果您已经安装请尽快移除并运行防毒软体扫描计算机。
qB官方网站的背景图像,引用自:https://www.qbittorrent.org/
输入法、虚拟键盘甚至实体键盘都可能自动回传隐私数据。由于这些工具有能力记录使用者敲击的每个字符,因此需要适当调整缓解潜在威胁。
禁止「云端输入」和「用户体验计划」功能。如果计算机已经配备防火墙或网络控制软件应当立刻切断上述软件的联网行为。
禁止Android系统预置的输入法,这需要安装任意第三方输入法,然后使用系统的安全服务禁止第三方软件联网及非必要权限(有些输入法能够在没有任何权限情况下运行)。
潜在附加软体(Potentially unwanted program ,缩写:PUP)是种特殊的恶意程式,通常经由捆绑方式安装在使用者的计算机上。其行为包括劫持浏览器主页/搜寻引擎、加载恶意浏览器扩展、弹出广告窗口甚至窃取隐私数据等。但是当您在使用下述防毒工具时还请注意,您的常用软件也可能被视作清理目标并删除。
Malwarebytes:免费版本提供扫描功能,在已感染广告软件的情况下扫描并解除威胁,但是它(免费版)无法替代防毒软件。此软件已知会将部分流行软件视作广告软件删除,请仅在完全知晓潜在风险情况下使用。
AdwCleaner:起家于法国的辅助工具,清理主流安全软件不一定处理的广告软件,在2016年10月由安全公司Malwarebytes收购。此工具极可能将您的常用软件视作视作需要处理的广告软件删除,请仅在完全知晓潜在风险情况下使用。
火绒专杀工具:用于解决劫持主页等问题,可在火绒论坛的【火绒恶性木马专杀工具】获得下载链接。但是请注意此工具不存在隔离区,扫描出的所有处理项将被直接删除。
如果您的火狐(Firefox )浏览器主页遭遇劫持,可参考由谋智中国撰写的的文章,覆盖较常见的解决方案。有时将劫持软件卸载即可解决此类问题。
若您无法自行解决此类问题,请联络防毒公司的技术支持。
AdGuard[96]:这是俄罗斯(总部设于塞浦路斯)的广告过滤软件, v7.5 及以上版本提供 DNS模块及禁止系统遥测和自动样本提交的功能[97]。不过请注意此软件可能需要您付费才能使用某些高级功能,不当设置可能削弱您的隐私安全。
WindowsSpyBlocker:提供多种阻止Windows系统回传遥测报告的方法,访问 GitHub 了解更多信息。
Firefox 52.90是最后支持XP系统的版本,它的基本功能和最新版本没有过大差异,但是问题在于多数扩展都无法安装。
在地址栏输入 about:config 并按下Enter 键。如遇到警告点击「我会小心」,搜索 xpinstall.signatures.required 并将值改为false.。
uBlock Origin:最后支持版本是1.17.4,可以在GitHub下载。安装后「禁止预读取」和「禁用超链接审计」处于灰色不可用状态,其它功能正常。适用于苍月浏览器的uBlock-for-firefox-legacy是可用的替代选择。
uMatrix:最后支持版本1.1.4,可在GitHub下载。默认订阅的规则 hpHosts’ Ad and tracking servers、Malware Domain List 和 Malware domains 已停止维护。适用于苍月浏览器的ηMatrix是可用的替代选择。
No Script:最后支持版本5.1.9,可在官方网站下载。需注意NS的白名单是全局(黑名单也一样)适用,应当尽量避免信任/不信任某个域名,容易出故障。
Decentraleyes:Decentraleyes | Local CDN Emulation
NPAPI插件是被已经被淘汰的技术,但是Firefox 52 仍然允许第三方安装插件。基于安全考虑应当全部移除,在地址列输入 about:plugins 并按下 Enter键进入控制台即可确认插件路径并手动从计算机中删除。如果不明白请参见:解决插件引起的故障。某些软件在安装时仍会安装插件,还请留意此现象。
Adobe Flash也是已淘汰的工具,它应当立刻被删除。
限制 Referer泄露的信息。可能造成某些网站不加载图像和视频。
network.http.referer.XOriginPolicy = 2
network.http.referer.XOriginTrimmingPolicy = 2
media.eme.enabled = false
media.gmp-widevinecdm.enabled = false
NoScript是保障XP系统下的Firefox浏览器的所必须的,您可以在该扩展的网站找到安装方法。
Android系统启动后就将自动回传各种数据[98]。许多预置应用和第三方都申请大量非必要的权限,甚至包括手电筒[99]。
应用商店:通常系统预置的应用商店嵌入各种广告和跟踪器,有经验的使用者可选择第三方服务减少这种跟踪。非营利性应用商店 F-Droid 仅收录包含自由及开放源代码软件,无需注册账号即可使用服务,也不会跟踪您的设备或记录您安装过哪些应用。您可以选择下载 APK 文件手动安装,但是会产生更新上的问题,因此推荐安裝用戶端。但是您需要承担潜在的攻击和损失风险,通常手机生产商会提醒因安装其它来源应用造成的问题不会承担,而在 F-Droid 的使用条款也注明尽可能保障安全、不承担潜在风险。
在智慧型手机上阻止跟踪行为很麻烦,几乎每个应用程序都嵌入了跟踪服务,而且应用内的「退出」按钮更像是安慰剂而非万灵药。常见的方法是基于第三方工具在网域名称系统(DNS)层面阻断应用连接跟踪和广告伺服器的行为,但是这种形式的过滤效果已经越来越差,最直观感受就是应用启动后仍然会出现广告,尽管使用者已经添加数以千计的规则。不过DNS过滤因操作相对简单仍然是防止跟踪的方案之一。
按理基于安全考虑应当使用开源软件(如:Blokada,NetGuard),但是这里选择的是闭源的AdGuard,这是对应用易用性的妥协。它的免费版提供「应用程式管理」功能让使用者决定哪些应用可以联网,包括手机开发商预置的那些不可移除的应用,而过滤应用内的广告跟踪是需要付费的。AdGuard免费版的「DNS过滤」一项重要且直观的功能,默认设定仅内置一个过滤器且不启用,使用者可添加额外的过滤器增强效果
需要注意的是,包括更新、重新启动、修改设定在内的操作都会导致 AdGuard 的保护暂时停止,在数秒或更久的时间内所有应用的联网行为都不会被过滤。另外免费版还支持过滤浏览器内的广告和跟踪器,这对于使用无附加组件浏览器的使用者可能有所帮助,因为它提供数十个内置列表并允许随意调整,但是自定义规则功能不受免费版支持。
AdGuard免费版的「DNS过滤」功能页面,请注意默认设定中是不启用的,使用者必须手动开启。
任何时候都不应使用系统预置的浏览器,它们是隐私梦魇。来自《福布斯》杂志的文章曾披露这种预置应用的跟踪行为,而安全专家 Wladimir Palant 通过逆向工程确认浏览器监视使用者的情况确实存在。
Bromite:基于 Chromium 浏览器开发隐私增强版本,内置广告拦截器并集成其它一些专案的安全补丁。包括「安全浏览」在内的部分对隐私不利的功能已经删除,但是该浏览器受制于上游而无法禁用某些非必要功能以及提供安装扩展的需求。Bromite的缺点在于安全更新相较于上游会有短暂延迟[100]。
FOSS Browser:开放源代码、不跟踪使用者的轻量级浏览器,仅支持Android系统。该浏览器提供一些隐私保护功能并集成广告拦截器,在默认情况下禁用第三方cookie。但是它不支持任何附加组件,过滤器列表跟随浏览器的新版本统一推送[101]。
Fennec F-Droid:基于 Firefox 浏览器开发,删除内置遥测服务以保障使用者隐私,但是需要连接各种Mozilla的伺服器更新反跟踪列表。您可以在 F-Droid 下载此应用程式,它适用于对隐私安全较高要求的使用者[102]。
隐私浏览器(Privacy Browser):一款开源的浏览器,以最大限度地减少发送到互联网的数据和存储在设备上的数据为目标。基于保护隐私的目标默认设置下禁用JavaScript之类的功能,使用者可以根据需要手动调整放行。尽管无法安装附加组件,但是该浏览器集成包括流行的反广告和跟踪过滤列表,跟随浏览器的新版本统一推送。在F-Droid可以找到该应用,以免错误安装其它类似名称的应用[103]。
Firefox Focus: 原本是由Mozilla开发、适用于iOS设备反跟踪工具,后来被开发成一个极简的网络浏览器。它不支持附加组件的安装,但内置反跟踪和广告过滤器。这款浏览器的特点是自动阻止在线跟踪和简洁界面,不过「谷歌安全浏览」服务无法禁用[104]。
Firefox for Android:尽管相较于桌面版功能丰富度已经大幅削弱,但是仍支持安装包括uBlock在内的流行扩展。不过很可惜官方网站已经不再提供 APK 文件,使用者需要前往 Google Play 才能安装及更新,有个折衷方案是从 GitHub 下载至本地手动安装及更新。
截至2021年2月时Firefox Android仍可安装的扩展,许多曾经流行的扩展暂时无法继续安装使用。
调整 Firefox for Android 增强隐私安全
本段落适用于90版本,随着浏览器的更新可能会变得不可用,68及更早的版本不适用于此段落。
增强型跟踪保护:选择自定义模式,禁止「第三方Cookie」。移动版的浏览器通常只用于处理简单事务,因此禁止Cookie造成网页破损的可能性较低。
退出时删除浏览资料:推荐启用此功能以免意外泄露浏览历史并减少跟踪。除「站点权限」以外的选项不会对日常使用造成困扰,除非您在移动端浏览器登录账号。
Firefox for Android 的「数据收集」选项默认启用,了解可能回传哪些数据以便选择。
使用和技术数据:回传浏览器的性能、使用情况、硬件和定制数据以协助 Mozilla 改进浏览器的体验。
营销数据:根据一篇帮助文档[105]向adjust发送的匿名统计数据包含搜索、浏览和删除按钮被按的次数,以及诸如国家、语言、操作系统和版本等信息。
实验:安装和收集实验功能的数据, 但是浏览器不显示已运行或完成的研究。
AdGuard:禁用常规设置,广告拦截和杂项部分的所有滑块,启用隐身模式但关闭「不要跟踪」的滑块。该扩展的Cookie自毁、URL跟踪参数过滤及其它小功能有助于弥补 Firefox for Android 扩展匮乏的问题。
Decentraleyes:保护您免受CDN跟踪并辅助其它过滤器,开箱即可用。扩展的更新速度不是非常频繁,取决于您较常访问的网站本地资源的发送数量可能比较低。如果您勾选「阻止缺少资源的请求」进一步阻止跟踪请求,但是将会造成网页破损。
Firefox Focus Logo。图片来源:Mozilla,作者:Mozilla,授权许可:Mozilla Public License Version 2,引用自:https://www.mozilla.org/en-US/foundation/trademarks/list/
Wi-Fi安全:在离开可信家庭网络(公共场合的网络显然不可信)覆盖范围时提前禁用移动设备的Wi-Fi功能,防止潜在的跟踪和攻击。尽管部分新型的设备内置防止「Wi-Fi探针」的安全功能,但是基于安全考虑不妨碍上述缓解措施的执行。
尽管苹果公司已经开发并预置Safari浏览器,但它是专有软件。在iOS系统上有几款尊重隐私的浏览器可供您选择,但并非所有应用都会在此列出。
Firefox for iOS:开源、可靠且尊重使用者隐私,内置增强追踪保护功能以阻止广告、跟踪器和虚拟货币挖掘器这类有害内容。但是请注意由于iOS系统的限制无法安装任何扩展,在设置中可关闭遥测和数据收集选项。
CCleaner:选项 → 隐私页面,单击「传送匿名使用资料」取消勾选。
CCleaner的使用界面截屏。请注意这是一个旧版本,相较于最新版本可能缺失一些选项。
^The uninvited Internet of things https://lwn.net/SubscriberLink/850218/9c0f0946579fe577/
^Smart TVs are data-collecting machines, new study shows https://www.theverge.com/2019/10/11/20908128/smart-tv-surveillence-data-collection-home-roku-amazon-fire-princeton-study
^Amazon confirms it keeps your Alexa recordings basically forever https://arstechnica.com/tech-policy/2019/07/amazon-confirms-it-keeps-your-alexa-recordings-basically-forever/
^How to opt out of human review of your voice assistant recordings https://foundation.mozilla.org/en/blog/how-opt-out-human-review-your-voice-assistant-recordings/
^Google's secret home security superpower: Your smart speaker with its always-on mics https://www.protocol.com/google-smart-speaker-alarm-adt
^Dozens of PC games drop tracking software after surveillance fears https://www.wired.co.uk/article/red-shell-game-tracking-gdpr
^Frontpage -- ToS;DR - Terms of Service; Didn't Read https://tosdr.org/
^HP printers try to send data back to HP about your devices and what you print https://robertheaton.com/2019/09/15/hp-printers-send-data-on-what-you-print-back-to-hp/
^Avast Online Security and Avast Secure Browser are spying on you https://palant.info/2019/10/28/avast-online-security-and-avast-secure-browser-are-spying-on-you/#what-data-is-being-sent
^Insights from Avast/Jumpshot data: Pitfalls of data anonymization https://palant.info/2020/02/18/insights-from-avast/jumpshot-data-pitfalls-of-data-anonymization/
^Brave deemed most private browser in terms of 'phoning home' https://www.zdnet.com/article/brave-deemed-most-private-browser-in-terms-of-phoning-home/
^Web Browser Privacy: What Do Browsers Say https://www.scss.tcd.ie/Doug.Leith/pubs/browser_privacy.pdf
^Fix a crash reporting issue that inadvertently sends background tab crash reports to Mozilla without user opt-in (bug 1427111) https://www.mozilla.org/en-US/firefox/57.0.3/releasenotes/
^ Firefox Mozilla Privacy IT Technology Mozilla Will Delete Firefox Crash Reports Collected by Accident https://news.slashdot.org/story/18/01/03/1640209/mozilla-will-delete-firefox-crash-reports-collected-by-accident
^Firefox: Mozilla trackt via Google Analytics https://www.kuketz-blog.de/firefox-mozilla-trackt-via-google-analytics/
^ How quickly do Firefox derived browsers receive security updates https://www.ctrl.blog/entry/downstream-firefox-security-updates.html
^Seven mobile browsers vulnerable to address bar spoofing attacks https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/
^New Chrome 0-day Bug Under Active Attacks – Update Your Browser ASAP! https://thehackernews.com/2021/03/new-chrome-0-day-bug-under-active.html
^Firefox: Ergänzung zur Cliqz-Integration https://www.kuketz-blog.de/firefox-ergaenzung-zur-cliqz-integration/
^Mozilla: All Firefox users get California's CCPA privacy rights to delete personal data https://www.zdnet.com/article/mozilla-all-firefox-users-get-californias-ccpa-privacy-rights-to-delete-personal-data/
^遥测数据的收集和删除 https://support.mozilla.org/zh-CN/kb/telemetry-clientid
^在谋智(Mozilla)工作是怎样一番体验? https://www.zhihu.com/question/24936643/answer/85662427
^谋智中国被发现“do some evil” https://www.solidot.org/story?sid=37355
^谋智中国回应“do some evil” https://www.solidot.org/story?sid=37527
^Firefox 中文起始页展示天猫双 11 广告 https://www.solidot.org/story?sid=62306
^How are security vulnerabilities handled? https://forum.palemoon.org/viewtopic.php?f=24&t=23577
^ Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9 https://www.kuketz-blog.de/pale-moon-datensendeverhalten-desktop-version-browser-check-teil9/
^Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16 https://www.kuketz-blog.de/waterfox-datensendeverhalten-desktop-version-browser-check-teil16/
^Waterfox web browser sold to System1 https://www.ghacks.net/2020/02/14/waterfox-web-browser-sold-to-system1/
^LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8 https://www.kuketz-blog.de/librewolf-datensendeverhalten-desktop-version-browser-check-teil8/
^ Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7 https://www.kuketz-blog.de/iridium-browser-datensendeverhalten-desktop-version-browser-check-teil7/
^A replacement for third-party cookies? https://lwn.net/Articles/855318/
^Privacy analysis of FLoC https://blog.mozilla.org/en/mozilla/privacy-analysis-of-floc/
^Brave reveals why it is disabling Google's FLoC in the browser https://www.ghacks.net/2021/04/13/brave-reveals-why-it-is-disabling-googles-floc-in-the-browser/
^Nobody is flying to join Google’s FLoC https://www.theverge.com/2021/4/16/22387492/google-floc-ad-tech-privacy-browsers-brave-vivaldi-edge-mozilla-chrome-safari
^Vivaldi says no to Google's FLoC as well https://www.ghacks.net/2021/04/14/vivaldi-says-no-to-googles-floc-as-well/
^Here is how you disable FLoC in Google Chrome https://www.ghacks.net/2021/05/31/here-is-how-you-disable-floc-in-google-chrome/
^Fix Firefox says “Your browser is being managed by your organization https://techdows.com/2019/06/fix-firefox-says-your-browser-is-being-managed-by-your-organization.html
^Disable Chrome’s Managed by your Organization due to QUIC Policy Set by Avast https://techdows.com/2020/04/disable-chrome-managed-by-organization-due-to-quic-policy-set-by-avast.html
^Dashboard: Settings https://github.com/gorhill/uBlock/wiki/Dashboard:-Settings#disable-hyperlink-auditing
^uBlock Origin开发者Raymond Hill对「禁用预读取」功能的说明:On Chromium 51 and above (including browsers based on Chromium 51 and above), this setting is completely unreliable, as it does not cause DNS lookups, preconnections and prefetches to be reliably blocked, because Chromium allows web pages to override that user setting.
^Yes, it's possible. For publishing you need a Google Account. I don't have one and don't want one But Emanuel Bennici takes the source code and publish LocalCDN in the Chrome Web Store.
^ uMatrix的版本更新日志: https://github.com/gorhill/uMatrix/releases
^A Popular Ad Blocker Also Helps the Ad Industry https://www.technologyreview.com/2013/06/17/177933/a-popular-ad-blocker-also-helps-the-ad-industry/
^Browser-Addon Ghostery: Verfolgung auf Schritt und Tritt https://www.kuketz-blog.de/browser-addon-ghostery-verfolgung-auf-schritt-und-tritt/
^Ghostery: Einblendung von Werbung in Anti-Tracking Addon https://www.kuketz-blog.de/ghostery-einblendung-von-werbung-in-anti-tracking-addon/
^WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/
^WOT-Addon: Mozilla hat das Addon entfernt https://www.kuketz-blog.de/wot-addon-mozilla-hat-das-addon-entfernt/
^WOT-Addon: Aktueller Stand nach dem Datenskandal https://www.kuketz-blog.de/wot-addon-aktueller-stand-nach-dem-datenskandal/
^"Stylish" browser extension steals all your internet history https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/
^Time to remove Nano Adblocker and Defender from your browsers (except Firefox) https://www.ghacks.net/2020/10/16/time-to-remove-nano-adblocker-and-defender-from-your-browsers-except-firefox/
^[Announcement] Recent and upcoming changes to the Nano projects https://github.com/NanoAdblocker/NanoCore/issues/362
^Future of Nano Project Firefox Port? https://github.com/LiCybora/NanoDefenderFirefox/issues/187
^What would you risk for free Honey? https://palant.info/2020/10/28/what-would-you-risk-for-free-honey/
^How Amazon Assistant lets Amazon track your every move on the web https://palant.info/2021/03/08/how-amazon-assistant-lets-amazon-track-your-every-move-on-the-web/
^Data exfiltration in Keepa Price Tracker https://palant.info/2021/08/02/data-exfiltration-in-keepa-price-tracker/
^Evaluating the privacy implications of a canvas fingerprinting countermeasure https://antoinevastel.com/tracking/2018/07/01/eval-canvasdef.html
^Cloudflare ddos protection looping https://github.com/cowlicks/privacypossum/issues/269
^Adblock Plus filter lists may execute arbitrary code in web pages https://armin.dev/blog/2019/04/adblock-plus-code-injection/
^Consider removing "FIN: Finnish Addition to Easylist" -filterlist from uBo assets.json https://github.com/uBlockOrigin/uBlock-issues/issues/285
^隐藏在Chrome中的窃密者 https://f5.pm/go-42748.html
^URGENT: SECURITY: New maintainer is probably malicious https://github.com/greatsuspender/thegreatsuspender/issues/1263#issuecomment-773499950
^Malware in open-source web extensions https://lwn.net/SubscriberLink/846272/37d25507fa3e9cd3/
^37,000 Chrome users downloaded a fake Adblock Plus extension https://www.engadget.com/2017-10-09-fake-adblock-plus-chrome-extension.html
^Over 20,000,000 of Chrome Users are Victims of Fake Ad Blockers https://adguard.com/en/blog/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers.html
^Adware vendors buy Chrome Extensions to send ad- and malware-filled updates https://arstechnica.com/information-technology/2014/01/malware-vendors-buy-chrome-extensions-to-send-adware-filled-updates/
^Using Fake Reviews To Find Dangerous Extensions https://yro.slashdot.org/story/21/06/03/2050239/using-fake-reviews-to-find-dangerous-extensions
^Firefox 56: Screenshot-Funktion deaktivieren https://www.kuketz-blog.de/firefox-56-screenshot-funktion-deaktivieren/
^ Firefox 88 Enables JavaScript Embedded In PDFs By Default https://news.slashdot.org/story/21/04/22/1754258/firefox-88-enables-javascript-embedded-in-pdfs-by-default
^A cleaner, safer web with Chrome Cleanup https://blog.google/products/chrome/cleaner-safer-web-chrome-cleanup/
^Chrome Is Scanning Files on Your Computer, and People Are Freaking Out https://www.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool
^uBlock Origin - An efficient blocker for Chromium and Firefox. Fast and lean https://github.com/gorhill/uBlock
^另一位开发者 fang5566 的翻译: https://github.com/fang5566/uBlock
^uBlock Origin is completely unrelated to the web site ublock.org https://github.com/gorhill/uBlock/wiki/uBlock-Origin-is-completely-unrelated-to-the-web-site-ublock.org
^A board becomes a committee … and we learn a lot https://adblockplus.org/blog/campdavid-nyc
^Search ads and self-promotion https://kb.adguard.com/en/general/search-ads-and-self-promotion
^Adblock Plus: Ein trojanisches Pferd https://www.kuketz-blog.de/adblock-plus-ein-trojanisches-pferd/
^Problems related to HTTPS filtering https://kb.adguard.com/en/general/https-filtering#problems-related-to-https-filtering
^HTTPS filtering: known issues https://kb.adguard.com/en/general/https-filtering/https-filtering-known-issues
^The sad, slow-motion death of Do Not Track https://lwn.net/Articles/826575/
^Kaspersky in the Middle – what could possibly go wrong? https://palant.info/2019/08/19/kaspersky-in-the-middle-what-could-possibly-go-wrong/
^Make your Firefox browser a privacy superpower with these extensions https://blog.mozilla.org/firefox/make-your-firefox-browser-a-privacy-superpower-with-these-extensions/
^Warnung: Web Security Addon für Firefox übermittelt womöglich sensible Daten https://www.kuketz-blog.de/warnung-web-security-addon-fuer-firefox-uebermittelt-womoeglich-sensible-daten/
^Browser Add-ons: Wie Antiviren-Hersteller ihre Nutzer ausspionieren https://www.kuketz-blog.de/browser-add-ons-wie-antiviren-hersteller-ihre-nutzer-ausspionieren/
^Almost Secure-antivirus https://palant.info/categories/antivirus/
^Disable Your Antivirus Software (Except Microsoft's) https://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html
^McAfee is killing us https://blog.mozilla.org/nnethercote/2012/02/16/mcafee-is-killing-us/
^Almost Secure-antivirus https://palant.info/categories/antivirus/
^Google and Mozilla's message to AV and security firms: Stop trashing HTTPS https://www.zdnet.com/article/google-and-mozillas-message-to-av-and-security-firms-stop-trashing-https/
^Antiviren-Scanner: Mehr Risiko als Schutz? – Snakeoil Teil1 https://www.kuketz-blog.de/antiviren-scanner-mehr-risiko-als-schutz-snakeoil-teil1/
^Alternativen zu Anti-Viren-Software – Snakeoil Teil3 https://www.kuketz-blog.de/alternativen-zu-anti-viren-software-snakeoil-teil3/
^Facebook ran ads for a fake ‘Clubhouse for PC’ app planted with malware https://techcrunch.com/2021/04/08/facebook-ran-ads-for-a-fake-clubhouse-for-pc-app-planted-with-malware/
^开发者的描述:Windows Defender is being incredibly annoying lately marking us as unwanted software/malicious/trojan/virus. If you experience problems with the installer not starting or not finishing, check that Defender hasn't silenty deleted it or the files it extracts.
^qBittorrent warns users not to install the Microsoft Store version https://betanews.com/2020/04/03/qbittorrent-warns-users-not-to-install-the-microsoft-store-version/
^qBittorrent开发者对仿冒程式的警告:ATTENTION WINDOWS USERS:There's a "qBittorrent" app on the Windows Store which costs money. It isn't an official release nor it is coming from us. The person publicizing it doesn't have permission to use the qBittorrent name/logo.
^注意这是一款闭源软件,官方声明如下:AdGuard for Windows is not an open source project. We use GitHub as an open bug tracker for users to see what developers are working on. However, we at AdGuard create a lot of open source software.
^AdGuard v7.5 for Windows: DNS module and better tracking protection https://adguard.com/en/blog/adguard-7-5-for-windows.html
^Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf
^Most Android Flashlight Apps Request An Absurd Number of Permissions https://tech.slashdot.org/story/19/09/11/2146205/most-android-flashlight-apps-request-an-absurd-number-of-permissions
^ Bromite: Datensendeverhalten Android-App – Browser-Check Teil3 https://www.kuketz-blog.de/bromite-datensendeverhalten-android-app-browser-check-teil3/
^FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14 https://www.kuketz-blog.de/foss-browser-datensendeverhalten-android-app-browser-check-teil14/
^ Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6 https://www.kuketz-blog.de/firefox-datensendeverhalten-android-app-f-droid-version-browser-check-teil6/
^Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11 https://www.kuketz-blog.de/privacy-browser-datensendeverhalten-android-app-browser-check-teil11/
^Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15 https://www.kuketz-blog.de/firefox-klar-focus-datensendeverhalten-android-app-browser-check-teil15/
^Firefox如何使用Adjust https://support.mozilla.org/zh-CN/kb/Firefox%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8Adjust
^Your Computer Isn't Yours https://sneak.berlin/20201112/your-computer-isnt-yours/
