使用 Thunderbird 这类邮件客户端收发邮件和浏览器相比哪个更安全,不容易受到最新 0day 攻击?发现 Thunderbird 没有沙盒,而且 addon 竟然和普通程序一样可以控制整台电脑,感觉不怎么考虑安全性

147 天前
 drymonfidelia

macOS 下也运行在沙盒外(虽然 macOS 那个沙盒三天两头就爆穿沙 CVE ,有些洞 还很容易利用)

但是浏览器不支持 PGP 加密邮件

2121 次点击
所在节点    信息安全
9 条回复
terence4444
147 天前
Linux 下用 Flatpak 应该可以达到沙盒的效果,但有些交互比如拖拽文件到附件的功能可能也没了。
hefish
147 天前
我就系统自带的用用。
busier
147 天前
邮件客户端默策略和浏览器还是不一样 即便没有沙盒风险也要小一些
例如
javascript 默认不运行
不自动载入外部资源
dingwen07
147 天前
Gmail 这样比较好的提供商大概率不需要担心恶意邮件问题,只要你不随意打开邮件附件
busier
147 天前
@dingwen07
他想玩 E2EE ,这样的话邮件服务商也无法监控邮件内容,无法扫描恶意邮件
drymonfidelia
147 天前
@busier 可是邮件本来就不能塞 javascript 啊,网页版 gmail 也可以开启不自动加载外部资源
busier
147 天前
@drymonfidelia 所以基于这些特性 邮件客户端即使没有沙盒 风险也小很多
cnt2ex
147 天前
@terence4444 测了一下,thunderbird 在 flatpak 里是支持拖拽到附件的。不过这个可能和桌面系统有关。GNOME 48 上是没太大问题。
cnt2ex
147 天前
如果你假设 js 都不会运行的话,攻击面不都差不多。谁代码写得好谁就更安全。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1124101

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX