关于浏览器选择的两三事

May 7, 2019

更新日期：2019-07-13

其实没什么好说的

经常看到有人问什么浏览器好，我最终给出了我自己的答复：

Chromium 分支

1. Ungoogled-chromium

优点：完全去 Google 化。能够受益于 Chrome 众多的插件生态。Chromium 目前占有率高，几乎网站适配都没有问题。

缺点：版本号有时候不能与上游跟进（本文撰写时，Windows 端仍在研究如何跟进到 74，提供的最新下载包依然是 67。虽然有第三方的人士打包的最新版，但是它启用了 Safe Browsing——违背了项目初衷而不被采用）。

注：他们现在准备换图标以及改名（因为 Chromium 是 Google 持有的商标）。

Firefox 分支

只要你选择 Firefox ，一个共有的优点是远离了垄断市场的 Chromium。

1. Icecat

优点：GNU 啊！

缺点：开发者的缺失导致了一系列的问题——比如无法安装皮肤，某些插件无法安装。

2019-07-13 更新：已向 FSF 提交了别人写的 Patch，等待并入中。Archlinux 的话是已经并入了的。在此给出我自己的解决方法。插件——先将 *.xpi 解包，然后更改 manifast.json，加入以下东西：
   "applications": {
       "gecko": {
           "id": "address@hidden",
           "strict_min_version": "56.0a1"
       }
   }
然后重新打包就行了。奇怪的是，至今也不知道为什么 Icecat 会这样。至于皮肤，使用Personas Plus 的 v2.0.2 版。然后把下载的 *.xpi 皮肤解包，manifast.json 里找到 Text Color 以及 Accent Color，再把图片解压出来。然后打开 Personas Plus，找到 Custom——接下来不用我多说了吧？解压出来的图片在应用后可以删除的，完全没有问题。

2. Tor Browser

优点：不需要说吧？

缺点：日用起来还是比较麻烦。不过如果你喜欢 Tor，那么真的没有问题。

3. LibreWolf

一个很有意思的企划。目前还在积极开发中。

4. Pale Moon

优点：（目前我真的想不出什么）

缺点：在某些站点上可能无法正常工作。

但就是这个推荐的 Pale Moon，有些人觉得有问题……

Reddit 上 Alan976 的评论

简单翻译一下他说了什么：

Firefox 的分支比 Firefox 的更新速度慢，这也意味着重要的安全更新要晚些时候才能送到。 Pale Moon 的开发者们根本不懂「安全」这个词。他们只知道「假安全」。 – Pale Moon 使用了很老且过时的 Firefox 代码分支，他们的 Goanna 引擎也是一份很老的 Gecko 代码分支。而这个老分支还存在很多现在已经修复的 bug 以及安全隐患。因为时间的原因，他们想「借」代码过来都不行了。 – Pale Moon 无法和现在的万维网一起前进。这也就意味着他们不会支持最新的功能，或者加载及其缓慢，甚至有些网站无法正常加载…… – Pale Moon 甚至没有 Sandbox 这个特性。开发者们自大的声称他们修复了 Meltdown / Spectre。 – Pale Moon 有屏蔽 AdNauseam、ABP 以及 NoScript 等插件的历史。而他们给出的借口都很滑稽——这根本违背了他们的座右铭：「你的浏览器，你做主（Your browser, Your way）」。正因如此，Pale Moon 不应该被大家使用。Basilisk Browser 也应如此，因为他们都来自于同一个开发者。记住，现在他们从 Firefox 那边合并的那些修复补丁都是因为目前他们还和 Firefox 共享这部分代码。其它的都不是。你最好希望这些分支的开发者们能够及时给脱节的代码打上补丁。

是真的吗？

我们来验证一下。

Pale Moon 没有新功能

举个 Widevine 的例子吧。

Widevine 是 Google 收购的公司，之后推出了 Widevine DRM。看到 DRM 就知道是什么了吧！

Pale Moon 的开发团队在不久前（本文撰写时）有打算不依靠 Mozilla 来给浏览器分发 OpenH264 和 Widevine，但为了确保当前的版本支持新的 CDM 界面而暂时停滞了前者。

有人在 issue 中说「可以让 Moonchlid 用他与 Mozilla 雇员的联系来促进开发进度吧」，可显然他们想也做不到——

一名开发者回复到：

Moonchild 除了与一名在 Mozilla Security 的雇员有联系外，其他的人他都不认识。（在开发上这）没有任何便利性，从我们停止使用 Mozilla 的 Verbatim 时（Mozilla 的一个翻译系统），我们完全独立了。事实上，我们当中的任何一个人参与进 bug 的讨论时，Mozilla 都会变得不屑且充满敌意。

Moonchild 也回复到：

除此之外，当我向 Google 发送关于 Widevine 的邮件时，即使这个邮件地址是关于问询许可和分发的指定渠道——他们也拒绝回复我...

Pale Moon 的安全性很有问题

和 icecat 一样——缺少开发者从安全角度上来看也是一个严重的问题。不过实际情况呢？

比如主密码的安全问题，不过看上去 Firefox 上与此相关的问题仍然是等待解决并完善。

至于 Meltdown / Spectre 的问题，从 issue 可以看到 Moonchild 对此的态度：

Pale Moon 从设计上是不会有这种问题，如果您知道有一种方法的话，我洗耳恭听（可以用私聊哦）。

另一名开发者也表示「想确认的话，可以自己做一次安全审计来看看」。

Pale Moon 屏蔽插件的问题

NoScript

一码归一码，先拿 NoScript 这个插件来说事。

根据官方论坛上的公告以及讨论串，我们可以看出官方的态度是这样的：

因为使用 NoScript 会导致很多网站不能正常工作/显示，我们也无法给那些安装了 NoScript 的浏览器提供支持——谁知道「不能正常工作」是插件问题还是浏览器问题呢？ ...排除故障所浪费社区成员的精力和时间是根本原因，我们不能再这样下去了。

看上去是很好的原因。在讨论串中，开发者进一步解释了原因：

问题在于，有些用户在不知道固有风险的情况下以为「这个东西能保护我」而安装了 NoScript。因为禁用了 JavaScript，这就导致了很多站点都无法正常工作。这时用户们就会说「这是浏览器的锅！」...

论坛内也有管理员说明了原因：

每个人的设置可能都独一无二，分析原因的时候可能很难...

用户们马上分成了两派，一派是反对，一派是无感。

反对派主要是针对「将 NoScript 拉入所谓的插件黑名单感到不解」、「使用 NoScript 后浏览器弹出说这是恶意软件的警告很脑残」、「需要禁用有害 JavaScript」的角度来说明。

有的反对派们还指出，这么做虽然可以，但是官方对此的回复是「不可理解」的。

顺带一提这些人中，大部分的用户都是吵着「我要换浏览器了」。

而无感派则是以「启用过程很简单」、「JavaScript 是目前互联网的一大块」的角度来反驳。

不过，还是有人混乱中立——他们推荐了 uMatrix。

有人提出了将 extensions.blocklist.enabled 设置为 false 的方法。这诚然是个好方法，缺点就是你需要自行分析每一个插件是否为恶意插件啦。

为了实验这个，我还真的装了一下 NoScript。在手动去设置里启用之后，瞬间 Pale Moon 加载了一个说明这个插件在黑名单里的页面。

有意思的是，这个页面上面说「...因为这个为恶意软件或者有安全漏洞...」，而下面又说「NoScript 会让很多网站不工作...」。整个提示是前后矛盾的。

而使用起来没有任何问题，也没要弹出其它任何窗口。

论坛里的 adesh 说了这样的一句我觉得很好：「没人逼你去解除你的防卫...他们只是想让你换一个更好的，没有想和你对着干。」

AdNauseam 与 ABP

Adblock Plus 的事情可以追溯到 2015 年了。Moonchild 是这么解释的：

我把它加入了黑名单是因为它有可用性的问题（参见之前多人发过的「浏览器低端红字灰条」帖子）。ABP 不应该在 Pale Moon v25 及以上的版本使用，因为它们与我们不兼容。

论坛里的 rm118899 马上紧跟着回复说：「我真的希望只把这个黑名单用于存在安全问题和存在严重稳定性问题的扩展程序上，这个现象听起来不像两者之内的东西……」

不过，事实上……看起来还真的有点影响。

有人问是否能阻止 Pale Moon 阻止其安装这个插件，Moonchild 倒说到：

因为不兼容的问题就算安装了——理解这件事情真的很难吗？ABL 是一个只做了很小改变的 ABP 分支，你仍然在使用 ABP，但是就改了个名以及变得更能兼容 Pale Moon 而已（原作者却拒绝这么做，甚至不把 Pale Moon 作为一个浏览器看待）... ...因为我们已经有一个可以替代 ABP 的东西，并且它的功能和 ABP 差不多，那么就没有理由继续在 Pale Moon 下面用 ABP 了...

随后，他说：「他们（ABP）只『支持』 Firefox。Pale Moon 不是 Firefox，所以兼容性问题一直都有，无论这个扩展程序有多火……如果他们修复了这个问题，我当然会很高兴的把这个插件从黑名单里移除。对于其它的插件也一样……不过我觉得这个发生的可能性很小。」

我还真去看了一下 ABP 的作者 Wladimir Palant 是怎么评论的：

...Adblock Plus 2.6.10 停止使用了已经被弃用的 JavaScript 生成器语法，这也是只有 Firefox 支持的。Firefox 29 及以上支持了符合标准的语法，但是 Pale Moon 没有支持他们（他们现在是一个非常老的 Firefox 版本的分支嘛）

Moonchild 对此的回应则是抨击的态度：

...在他们做这个决定（指更新语法）之前，他们有意识地没有（并且不想）支持 Pale Moon。对于我来说这就是找借口。而且「一个非常老/过时的 Firefox 分支」是完全错的。人们看起来并不了解什么是「分支」，即使他自己就是软件开发者…… 就因为我们是从一个老的且过时的 Firefox 代码发展起来的（我也同意这一点，现在我当然不推荐任何人使用 Firefox 24），这并不代表我们还在原地打转。难道人们还认为 Pale Moon 是一个没有任何开发的 Firefox 翻版？这是一个「分支」。想象一下餐具里的叉子。在它分裂成尖头的地方，难道这些尖头只有一个「长下去」的吗？并没有。否则的话，这就不叫「叉子」了，这就应该叫类似「稿子」的东西了。

当然，依然有人在下面说这不是一个明智的选择。简单来说，有人认为 Moonchild 这样是在给自己挖坑。

回过头来看 AdNauseam，则是不一样的情况。

Moonchild 的看法是这样的：

在分析了这个插件的行为后，我们把这个扩展程序加到了黑名单里并且提升其严重等级为 2 级（这也意味着你不能启用它，除非在 about:config 里把黑名单等级调为 3）。对那些不知道这个插件是干什么的，我这里做一个概况：他通过去生成「虚假点击」那些广告来试图在整个广告平台上产生「噪音」并抗议。虽然这类似于带有虚假指纹来迷惑追踪器的行为（我们也是支持者），并且我们也通常让用户决定他们自己想用浏览器做什么，但我们还是严格禁止那些能造成损害的扩展程序（包括对第三方的）。阻止内容与生成虚假的用户交互之间虽有微妙但本质不同的区别。我们因为以下原因做出这个决定： 1. 对广告产生虚假点击将会把网站所有者的账户标记为「无效流量」。如果这种流量持续下去，则会对网站所有者造成损害： a. 一方面是在任何网站上展示的广告都会因用户安装这个插件而使广告位置贬值。这降低了网站所有者从合法点击获得的直接收入。 b. 另一方面，广告平台将筛选任何无法验证这个为合法点击的点击（而这通常由他们自己决定），这就对那些超出「无效流量」的网站所有者是一个直接的惩罚。 c. 在极端条件下，网站所有者的账号可能会被直接关停。 2. 生成这类「噪音」并不能完成其预期的目标，因为受到惩罚的是网站所有者，而不是那些广告平台。 3. 虽然不能被视为「欺诈点击」（因为网站所有者并不能从 AdNauseam 产生的虚假点击中获益），但它对互联网经济的整体健康造成了问题——特别是那些做公益服务并且需要从广告来获得收入的网站。因为这个扩展程序会对网站所有者造成直接和间接的经济损失，因此我们将其归类为恶意软件，并因此列入到黑名单中。除非「虚假点击」这个功能从扩展程序中删除，否则我们不会重新考虑这一决定。

紧跟着，论坛里的 ironsmash 回复说：

...把这种『作恶』的软件归类为恶意软件是不恰当的做法...归类恶意软件应该是保护用户，而不是用于这种用途。当我亲眼看到 Pale Moon 把这个扩展程序加入黑名单的时候，我的内心隐隐作痛。这让我意识到，当前，没有一个浏览器值得我花时间去倾注。不要把任何东西挡在自己的意识形态观点之外。这意味着我，以及其它许多人都将停止使用 Pale Moon 作为日用浏览器...

很多用户和他一样，都表达了不满的情绪：

...我们不在乎你同不同意插件问世的原因。作为浏览器的开发者，您不是那种「能告诉我们不能做什么」的人。 —— @Defiant ...这与自由完全不相容，我根本不能接受这一点...您总不能因为很多人不能接受色情而把所有的黄色网站禁止掉吧？这看起来很像 1984 了。 —— @aquachan 您决定我用我的电脑做什么的那天是我停止使用您浏览器的那一天。 —— @derram

而 Moonchild 则一直是从插件能让小网站所有者的权利受损上来辩解，甚至说「我很乐意跟开发这个扩展程序的开发者好好聊一聊这个事情」。

当然，也是有站在 Moonchild 一边的人：

Moonchild 的话是对的，如果你考虑到广告投放商因为这些虚假点击而向 Google 多交钱的时候，这就是恶意软件了... —— @qrestlove

所以 AdNauseam 到底是一个怎样的扩展程序呢？它究竟能不能给网站所有者带来伤害呢？

简单理解来说，这个扩展造成的后果是链式的——

假设，广告平台的广告主发现自己的广告效果不好，那么就导致广告主有损失->广告平台有损失->网站所有者就没有钱。而为了让广告主没有损失，平台就不会允许这类虚假点击->网站所有者还是没有得到应有的钱。这一切都要看广告平台的技术实力能不能够鉴别这种点击。

Pale Moon 对各大流言的回应

最近，Moonchild 为了应对市面上的各种流言，而发布了一篇回应。

简单翻译一下：

Pale Moon 只是个个人开发产品，并且不能和现代互联网及 Firefox 接轨。—— 假 Pale Moon 只是个老 Firefox 的更换商标版本 / Pale Moon 是一个过时和不安全的 Firefox 版本 / Pale Moon 是基于很老且没有维护的代码库 / Pale Moon 是基于 Firefox 28/38/52/56 的（总而言之就是很老啦）—— 假 Pale Moon 会采用 Australis/Photon（早期 Firefox 的界面代号，可以看这个项目里的预览图）。—— 假 Pale Moon 没有内容沙盒系统，因此很不安全。—— 假 Pale Moon 禁用了很多有用的功能。—— 假 Pale Moon 的默认搜索引擎会给开发者带来好处。 —— 真 Pale Moon 不是开源软件 / Pale Moon 不是自由软件。—— 假 Pale Moon 的某些工具是专有软件。—— 真 Pale Moon 不支持插件 / 我的插件不能在 Pale Moon 上工作（当然啦，WebExtensions 肯定是不支持的）。—— 假 Pale Moon 是广告软件/间谍软件。—— 假

参考资料

如果喜欢本文，欢迎点击下方的「鼓掌」按钮！

如果上面没有加载出任何东西，可以点击这里。