EP27 - 瀏覽器大戰｜你用的瀏覽器安全嗎？

Podcast 連結

• Apple Podcast
• Spotify Podcast
• Firstory Podcast

---

本集內容大綱

Internet Explorer (IE) 的退役

11 月 30 日起，微軟要開始停止軟體支援 IE，預計在明年中的時候就會完全停止支援

IE 於 25 年前由微軟推出，曾經輝煌過也最多人使用，但隨著時代的洪流現在要被淘汰了

相關新聞：

• Microsoft 365 apps say farewell to Internet Explorer 11 and Windows 10 sunsets Microsoft Edge Legacy
• Microsoft 365 明年不再接受 IE11 存取、舊 Edge 3 月終止支援

瀏覽器大戰

微軟以 Edge 再度宣布回歸瀏覽器競爭洪流，藉這個機會整理一下各家瀏覽器在安全性與隱私上所做的努力，大家可以參考看看，再依照自己的需求或信仰選擇適合自己的瀏覽器

前情提要 - 名詞解釋

開放原始碼 (Open Source)

開放原始碼，簡稱開源，指的是開發商把程式或系統的原始程式碼公開在網路上讓大家檢視

社群會可以去檢視和研究開源軟體是怎麼運行的，在我們平常看不到的地方做了哪些事，透過這個方式來檢視軟體的安全性和隱私性

通常一個程式會被開源，代表著開發商對自己的產品有一定的信心，不怕被大眾社群檢視，大家普遍也會認為開源的軟體比較直得被信任

瀏覽器指紋

瀏覽器指紋是由作業系統、瀏覽器、螢幕大小、解析度、時區和語言等許多資訊所拼湊而來，用來識別使用者的一種資訊

網頁可以在不需要用戶主動提供資訊或讀取 Cookie 的情況下，藉由瀏覽器指紋辨識出使用者

許多網頁會透過這種方式追蹤和分析用戶行為並投放廣告

Cookie

Cookie 是網站為了辨識用戶身份而儲存在我們瀏覽器裡的資料

我們之所以可以在每次開啟 Facebook、Gmail 網頁時不需要重新登入就是因為這些網站將我們登入的資訊儲以 Cookie 的方式存在我們的瀏覽器上。

因為 Cookie 包含了我們的資訊，因此如果沒有保護好，就會對我們造成隱私或是安全性的威脅。如果一個惡意的網站可以讀取 Google 儲存在我們瀏覽器中的 Cookie 的話，他就會有辦法知道我們 Google 帳號相關的登入資訊。因此 Cookie 會需要被好好的保護和隔離，避免未經授權的網站讀取存在我們電腦上的 ˙Cookie。

WebRTC (Web Real-Time Communication)

WebRTC 是一個讓瀏覽器可以支援即時語音通話或是視訊的技術。大部分的瀏覽器都有支援 WebRTC。

之所以會需要再瀏覽器的安全性討論 WebRTC 是因為 2015 年時，WebRTC 被發現有個資安漏洞，導致我們在使用 WebRTC 相關技術時會洩漏我們的真實 IP，也就是說即時我們使用了像是 VPN 這類型的技術，也無法完全的保護我們的隱私。

因此如果希望在上網時可以確保隱私，我們就會需要停用 WebRTC 的功能，或是更改 WebRTC 的設定，來確保 IP 位置不會被洩漏。

相關新聞：Huge Security Flaw Leaks VPN Users’ Real IP-Addresses

DNS over HTTPS

透過加密的 HTTPS 連線來進行 DNS 查詢，確保我們的 DNS 查詢記錄也是隱藏加密的，如此一來除了不用擔心查詢記錄被別人知道以外，也能確保我們查到的 DNS 在傳輸過程中是沒有被篡改過的。

複習：HTTPS 超文本傳輸安全協定 Hypertext Transfer Protocol Secure

DNS over HTTPS 和如何啟用他？

Google 安全瀏覽服務 Google Safe Browsing

Google 安全瀏覽服務 是 Google 所推出的服務，能偵測出具有風險的網站，並提醒使用者和網站管理員避開潛在的危害。 Google 安全瀏覽服務有提供 API 讓其他開發者和公司可以透過 Google 安全瀏覽服務來查詢網站是否安全。

Google 官方說明 - Google 安全瀏覽、Google Safe Browsing

Google 安全瀏覽服務 每週偵測到的不安全網站數量 圖表來源：Google 安全瀏覽

CName Clocking

現在許多廣告、追縱器阻擋的方式都是透過將已知的廣告追蹤器網址加入黑名單，在瀏覽網頁時如果發現網站要與黑名單中的廣告、追蹤器服務連線的話，就會將這些連線擋下。

因此這些廣告、追蹤器服務就想出了一個應對方式，他們會與網頁合作，透過更改網站的 DNS 設定，讓原本會連去這些廣告追蹤器服務的連線，看起來像是只是網站本身的一個網頁而已。這會大大的增加阻擋廣告的難度和複雜度。

舉例來說，廣告商 ABC.com 要與 Example.com 合作。原本的做法會是在 Example.com 的網頁中放入 tracking.abc.com 之類的連結，來呼叫 ABC.com 的追蹤器。如果我們將 tracking.abc.com 這個網址放入黑名單中，就可以擋向所有網站上 ABC.com 廣告商的追蹤和廣告。

透過 CName Clocking，Example.com 就會設定一個專門的網址給 ABC.com，像是 track.example.com，並透過 DNS 設定將此網址的 CName 指向 tracking.abc.com，如此一來 Example.com 的網頁中出現 track.example.com 的連結時，就會被認為是 Example.com 自己的網頁，而不會被判定為第三方廣告或追蹤器。

更多細節：CNAME Cloaking and Bounce Tracking Defense

常見瀏覽器

各大瀏覽器市佔率趨勢圖

圖表來源：statCounter - Desktop Browser Market Share Worldwide

Google Chrome

• Google 在 2008 年所推出的瀏覽器，支援 Windows、Mac、Android、iOS 等各大作業系統

• 目前是市占率最高的瀏覽器，有高達 66%的人都是使用 Chrome

• 建立於同樣由 Google 開發的 Chromium 這個開源的瀏覽器專案上

  • Chromium 就像是車子的引擎，Chrome 就是一台以 Chromium 為引擎的車子
  • 使用 Chromium 的瀏覽器並不是只有 Chrome 一個。雖然 Chome 和其他使用 Chromium 的瀏覽器都是使用一樣的架構，但不同的瀏覽器會在架構上新增不同的功能，因此即便架構一樣，在功能性、安全和隱私上還會有很大的差異

• 更新頻率高

• 支援 DNS over HTTPS

• 沒有內建 HTTPS Everywhere 的功能

• 隱私疑慮：背後的公司是 Google，因此使用 Chrome 就難免會被搜集一些資訊

• 沒有內建阻擋廣告、追蹤器、和阻擋瀏覽器指紋追蹤的功能

• Chrome 擴充套件商城：套件數量很多，選擇也很多元，上面有許多可以幫我們增加隱私和安全性的套件

Apple Safari

• Apple 在 2003 年推出的瀏覽器，支援 Apple 的作業系統（Mac、iOS）

  • Apple 曾在 2007 年推出了 Windows 版的 Safari，但因為種種因素，他們在 2012 就取消了這個計畫不再推出更新了

• 目前的市佔率是第二高，有 17.24%

• 建立在Konqueror 開源瀏覽器之上

• 主要排版引擎 Webkit 是開源的，但 Safari 本身不是

  • Chromium 其實是 Safari 的一個分支，Chromium 也是使用 Webkit 做為底層的排版引擎

• 更新是跟隨著系統一起的，因此更新的頻率相比之下沒有那麼高

• 沒有內建 HTTPS Everywhere 的功能

• 在 DNS over HTTPS 的部分，Apple 先前公布在最新的 Mac 作業系統 Big Sur 中會支援，目前 Big Sur 正式版推出兩個多禮拜了，但還沒有看到有這個功能。

• 內建智慧防追蹤功能，會透過機器學習的方式去分析和阻擋上網時的追蹤器以及避免網頁追蹤我們的瀏覽器指紋

• 在擴充套件的部分，Safari 是透過 Apple 的 App Store，上面的套件數量與 Chrome 相比少很多，使用者的選擇比較少

• Apple 的系統較封閉，限制較多，可以客製化和自訂的內容比較少想要自己加強 Safari 的安全性的話是比較難的

Microsoft Edge

• 微軟在推出，為了取代 IE 成為 Windows 電腦的預設瀏覽器

• 支援 Windows、Mac、Android、iOS

• 舊版 Edge

  • Edge 第一版在 2015 年推出的
  • 繼承了 IE 的架構，並移除了一些過時和不安全的技術，讓 Edge 變得更安全。
  • 雖然改善了許多 IE 原本的問題，但效果並沒有很好，民眾的接受率也不高，
  • 微軟在 2018 年底決定要放棄舊版 Edge，開發新版的 Edge

• 使用 Chromium 架構

• 原始碼開源，開放社群檢視

• 更新頻率高

• 支援 DNS over HTTPS

• 沒有內建 HTTPS Everywhere

• 內建阻擋追蹤器的功能

• 隱私問題：研究發現預設會在我們瀏覽網頁的過程中，回傳一些電腦的資訊給微軟的伺服器，這些資訊是可以被用來辨識和追蹤我們，且無法輕易更改的，因此那篇研究對 Edge 的隱私評價十分低

• 除了 Chrome 的擴充套件商城以外，還多了 Microsoft 商城的選擇，

  • Microsoft 商城上的擴充套件與 Chrome 套件商城上的重複性很高，在 Microsoft 商城上有的在 Chrome 套件商城幾乎都會有，因此這一點跟 Chrome 比並沒有帶給 Edge 太多優勢。

研究：Web Browser Privacy: What Do Browsers Say When They Phone Home?

Mozilla Firefox

• 老牌，很知名的瀏覽器

• 由非營利組織 Mozilla 開發，，支援 Windows、Mac、Android、iOS 等各大作業系統

• 市佔率只剩 3.98%，曾為市佔率第二高的瀏覽器

• 更新頻率高

• 內建了 DNS over HTTPS

• 內建 HTTPS Everywhere

• 內建了阻擋挖礦程式的功能

• 內建阻擋追蹤器和瀏覽器指紋追蹤的功能。

• Firefox 有自己的擴充套件商城，上面的擴充套件數量跟豐富度不輸給 Google

• Mozilla 一直不斷的有在推動許多技術和隱私相關的議題，因為這樣，Firefox 才會有那麼多內建的追蹤阻擋器和保護隱私的功能，也因此大家在討論瀏覽器時通常會認為 Firefox 是個比較隱私和安全的瀏覽器。

• 爭議：因為 Mozilla 是非營利組織的緣故，他們需要靠其他公司的贊助和金援，而他們有超過 90%的收入都是來自於 Google，每年 Google 會付好幾億美金給 Mozilla 來讓 Firefox 的預設搜尋引擎是 Google，這件事引起了許多爭議和討論，許多人認為這個行為牴觸了 Firefox 的隱私宗旨

  • 相關新聞：Google-Firefox search deal gives Mozilla more money to push privacy

• Firefox 進階隱私設定： FireFox: “about:config” 的隱私設定調整

Brave

• 2016 年才推出，以安全和隱私為主打項目的瀏覽器

• 由 Brave 公司開發，，支援 Windows、Mac、Android、iOS 等各大作業系統

  • Brave 公司創辦人 Brendan Eich 原本是 Mozilla 基金會的共同創辦人，但他認為在 Firefox 這樣的大公司無法快速和創新的開發出他想要的產品，因此自己創立並推出了 Brave。

• 開源軟體

• 建立在 Chromium 架構上

• 更新頻率高

• 內建 DNS over HTTPS

• 內建 HTTPS EveryWhere

• 內建阻擋追蹤器、挖礦程式和瀏覽器指紋追蹤外

• 內建了廣告阻擋的功能

• 在前面提到將 Edge 評為隱私表現最差的報告中，Brave 的隱私表現被評為最好的

• 廣告機制 Brave Reward （與資安和隱私無直接關聯）

  • 透過允許這些廣告的顯示來賺取數位貨幣 BAT
  • 掌控看到的廣告數量
  • 概念：與其讓廣告商付錢給 Google 這類型的公司來幫他們投放廣告，還不如直接付錢給觀看這些廣告的使用者
  • 賺取的 BAT 可以透過瀏覽器內建的功能來贊助許多網路上的創作者，讓他們不需要透過置入廣告的方式來維持生計
  • 有一些人認為這只是 Brave 的創辦人想出來新的投放廣告讓自己賺錢的方式而已

• Brave 爭議

  • 隱私瀏覽器 Brave 遭爆私自為用戶填入推薦代碼
  • Whitelisting spyware from Facebook and Twitter、Script Blocking Exceptions Update

瀏覽器資安與隱私評比

[1] Safari 的主要排版引擎 Webkit 是開源的，但 Safari 本身不是

[2] Chrome 是建立於 Chromium 這個開源的瀏覽器專案上

[3] 只透過 Google Safe Browsing 阻擋惡意廣告

[4] Microsoft Edge 和 Brave 不允許完全關閉 WebRTC，但在設定上可以避免洩漏使用者 IP 位置

[5] 表格中的自動使用 HTTPS 指的是像 HTTPS Everywhere 這種會將未加密連線都轉為 HTTPS 連線的功能

你還需要知道的事

總結來說，我認為 Brave 有最豐富的安全和隱私內建功能，緊追在後的是 Firefox。而相比之下，最多人使用的 Chrome 反而在內建功能中是最缺乏的。但大家不要忘了 Brave 是建立在 Chromium 上的，許多架構上的安全性和維護是需要仰賴 Google 團隊的，因此 Brave 的安全性一定程度上也是要歸功於 Google 的。

Firefox 雖然被我排在 Brave 之後，但 Firefox 許多細部的設定是可以調整的，如果正確修改那些設定的話是可以比 Brave 更安全的，但設定上比較不容易，一不小心弄錯了也會影響到正常運作，因此被我排在 Brave 之後。（Firefox 進階隱私設定： FireFox: “about:config” 的隱私設定調整 ）

今天的比較都是以內建的功能為主，許多安全和隱私的漏洞都可以透過擴充套件來進行修補的，因此不管你使用的是哪個瀏覽器，如果搭配正確的套件事都可以達到一定的安全性的，只是相對的可能會比較複雜和麻煩而已。

除了今天提到的五個瀏覽器以外，還有許多有著很好的隱私和安全性的瀏覽器，像是 Tor 、Ungoogled Chromium、Iridium Browser和Pale Moon等等的，但在比較過後，我覺得這些瀏覽對一般使用者來說使用上比較不容易，因此沒有將他們列入今天的討論中。如果想要追求更進階的隱私和願意嘗試與學習的人可以試試這些瀏覽器。