Mối lo ngại về bảo mật của Zen Browser: Vấn đề lỗ hổng gỡ lỗi từ xa làm dấy lên câu hỏi về tuyên bố bảo mật

BigGo Editorial Team
Mối lo ngại về bảo mật của Zen Browser: Vấn đề lỗ hổng gỡ lỗi từ xa làm dấy lên câu hỏi về tuyên bố bảo mật

Thị trường trình duyệt mã nguồn mở đã chứng kiến nhiều phiên bản phát triển từ Firefox tự định vị là các lựa chọn thay thế tập trung vào quyền riêng tư, với Zen Browser là một trong những sản phẩm mới nhất đang thu hút sự chú ý. Tuy nhiên, một vấn đề bảo mật được phát hiện vào đầu năm nay đã làm dấy lên cuộc tranh luận đáng kể trong cộng đồng công nghệ về các biện pháp bảo mật của trình duyệt này và kinh nghiệm của đội ngũ phát triển.

Lỗ hổng gỡ lỗi từ xa

Trọng tâm của tranh cãi là việc phát hiện ra Zen Browser đã kích hoạt tính năng gỡ lỗi từ xa theo mặc định mà không yêu cầu người dùng xác nhận. Cấu hình này, đã được sửa cách đây khoảng bảy tháng, cho phép các kết nối bên ngoài gỡ lỗi trình duyệt—một tính năng thường chỉ dành cho các phiên bản dành cho nhà phát triển và môi trường phát triển cụ thể. Các chuyên gia bảo mật coi đây là một lỗ hổng đáng kể, vì nó tạo ra một cửa hậu tiềm ẩn vào trình duyệt.

Phản hồi ban đầu của nhà phát triển—Tôi nghĩ nó chỉ cho phép gỡ lỗi dễ dàng hơn, xin lỗi—đã đặc biệt khiến các thành viên cộng đồng lo ngại, cho thấy sự thiếu hiểu biết về các ảnh hưởng bảo mật của các cấu hình trình duyệt đang được sửa đổi.

Những vấn đề chính với Zen Browser

  • Chế độ gỡ lỗi từ xa được bật mặc định mà không thông báo cho người dùng
  • Không hiện thông báo khi trình gỡ lỗi từ xa được khởi động
  • Vấn đề đã được sửa cách đây 7 tháng nhưng vẫn gây lo ngại về chuyên môn của nhà phát triển
  • Dự án được quảng cáo là tập trung vào quyền riêng tư mặc dù có vấn đề về cấu hình
  • Báo cáo từ cộng đồng về các lo ngại khác về quyền riêng tư bị bỏ qua

Các giải pháp thay thế được cộng đồng khuyến nghị

  • Firefox với arkenfox/user.js và uBlock Origin
  • Librewolf
  • Mullvad Browser

Vấn đề về niềm tin và kinh nghiệm

Cuộc thảo luận của cộng đồng cho thấy những lo ngại sâu sắc hơn về cách tiếp cận tổng thể của dự án đối với bảo mật và quyền riêng tư. Nhiều người dùng đang đặt câu hỏi liệu một đội ngũ nhỏ, được cho là bao gồm các sinh viên đại học ở độ tuổi đầu hai mươi, có kinh nghiệm cần thiết để duy trì một trình duyệt an toàn—đặc biệt là một trình duyệt được tiếp thị là tập trung vào quyền riêng tư.

Khi Zen browser được đăng ở đây lần đầu, tôi thấy những người đứng sau nó chủ yếu dường như là sinh viên đại học ở độ tuổi đầu 20, vì vậy về phía họ tôi sẽ thông cảm cho sự thiếu kinh nghiệm, nhưng mặt khác đó là lý do tại sao tôi sẽ không bao giờ khuyên ai sử dụng một phiên bản trình duyệt như thế này, bạn có thể cũng như bắt đầu mua thuốc tránh thai từ Craigslist.

Nhận xét này phản ánh một sự hoài nghi rộng lớn hơn về các phiên bản trình duyệt được duy trì bởi các đội nhỏ mà không có nguồn lực bảo mật mở rộng như các tổ chức lớn hơn như Mozilla.

Phản ứng với chỉ trích

Cách xử lý tình huống của người duy trì dự án cũng đã bị xem xét kỹ lưỡng. Sau khi vấn đề nhận được sự chú ý rộng rãi hơn, người duy trì đã đổi tên tiêu đề vấn đề ban đầu và cung cấp thêm ngữ cảnh, giải thích rằng cấu hình này được cố ý kích hoạt khi Zen vẫn còn là một dự án thử nghiệm để tạo điều kiện gỡ lỗi dễ dàng hơn trong quá trình phát triển ban đầu.

Tuy nhiên, những người chỉ trích chỉ ra rằng lời giải thích này mâu thuẫn với các tuyên bố trước đó và không giải quyết được tại sao một trình duyệt được tiếp thị là tập trung vào quyền riêng tư lại có các cấu hình như vậy được kích hoạt theo mặc định. Một số thành viên cộng đồng cũng đã nêu lên lo ngại về các vấn đề quyền riêng tư khác bị bỏ qua hoặc các cuộc thảo luận bị đóng lại.

Các lựa chọn thay thế và khuyến nghị

Để đáp lại những lo ngại này, nhiều người dùng đang đề xuất các lựa chọn thay thế cho những người tìm kiếm trình duyệt tập trung vào quyền riêng tư. Các khuyến nghị bao gồm Firefox nguyên bản với cấu hình arkenfox/user.js và uBlock Origin, hoặc các phiên bản tập trung vào quyền riêng tư đã được thiết lập như Librewolf hoặc Mullvad Browser.

Tình huống này làm nổi bật những thách thức vốn có trong hệ sinh thái trình duyệt mã nguồn mở. Mặc dù phát triển mã nguồn mở cho phép tính minh bạch và các bản sửa lỗi cộng đồng—như được chứng minh bởi vấn đề này đã được giải quyết ngay lập tức khi được báo cáo—nhưng nó cũng yêu cầu người dùng đặt niềm tin đáng kể vào chuyên môn của người duy trì và cam kết với các nguyên tắc bảo mật.

Đối với người dùng quan tâm đến quyền riêng tư và bảo mật trình duyệt, sự cố này đóng vai trò như một lời nhắc nhở để nghiên cứu các đội ngũ đứng sau các dự án trình duyệt và xem xét sự đánh đổi giữa các tính năng, tùy chỉnh và chuyên môn bảo mật khi lựa chọn các trình duyệt thay thế.

Tham khảo: Disable remote debugging by default #927