V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LLaMA
V2EX  ›  信息安全

使用旧版本 Chromium 有安全风险吗?研究一个月给 Chromium 加了个对我很有用的功能(扩展做不到)打算长期使用,不想研究怎么用 CI 全自动构建,每隔一段时间手动构建一次不现实,太麻烦,而且新版本代码也可能和我加的这个功能冲突

  •  
  •   LLaMA · 345 天前 · 2579 次点击
    这是一个创建于 345 天前的主题,其中的信息可能已经有所发展或是发生改变。
    19 条回复    2023-04-23 21:50:21 +08:00
    leloext
        1
    leloext  
       345 天前
    当然有风险,像刚爆出来的 CVE-2023-2033
    0o0O0o0O0o
        2
    0o0O0o0O0o  
       345 天前 via iPhone
    > 使用旧版本 Chromium 有安全风险吗?

    当然有

    > 每隔一段时间手动构建一次不现实

    把手动构建的步骤写成脚本做成容器,其实 chromium 有现成的

    > 新版本代码也可能和我加的这个功能冲突

    不确定别人怎么做的,我是尽可能少地改动代码文件,尽量把修改的部分放进新文件里,合起来冲突少,功能不正常了才去改
    WooooW
        3
    WooooW  
       345 天前
    撒功能扩展做不到
    anUglyDog
        4
    anUglyDog  
       345 天前
    没办法,改了源码就这样,后续更新很麻烦
    0o0O0o0O0o
        5
    0o0O0o0O0o  
       345 天前 via iPhone
    @WooooW 有些反指纹的操作扩展就做不到
    Senorsen
        6
    Senorsen  
       345 天前 via iPhone   ❤️ 1
    同 2L ,关于 CI 构建,可以嫖一下 GitHub Actions ,把你的修改存成一个 patch ,schedule 定期检测,有版本更新则拉代码、apply patch 、build ,build 成功或失败(一般都是 apply patch 失败)就发邮件通知。
    顺便好奇是什么样的改动,能否给大伙分享下。
    AloneHero
        7
    AloneHero  
       344 天前 via Android
    希望楼主搞定之后可以分享一下!
    neighbads
        8
    neighbads  
       344 天前
    可以参考下耍下的做法。用 version.dll 去 hook 。一劳永逸,每次用官方的,不影响更新
    iamwho
        9
    iamwho  
       344 天前
    不连接互联网的话,风险大大降低。
    nothingistrue
        10
    nothingistrue  
       344 天前
    你要是说用 Chromium 的话,长期使用旧版本虽然有风险,但这风险是小于被官方更新喂屎的风险的。但你这是自己往上面集成东西,那是越早更新越容易暴漏版本冲突问题——进而更容易解决冲突。
    fengjianxinghun
        11
    fengjianxinghun  
       344 天前
    @Senorsen 封号警告,搞这种专门编译大型项目的现在很容易被封
    Senorsen
        12
    Senorsen  
       344 天前
    @fengjianxinghun 这样吗?之前还真没听说过,默默回去查一下 tos……
    fengjianxinghun
        13
    fengjianxinghun  
       344 天前
    @Senorsen 那些编译 openwrt 的不知道被封了多少了。
    Senorsen
        14
    Senorsen  
       344 天前
    @fengjianxinghun 搜了一下,据说可能跟那些云编译 openwrt 用的 action 带 ssh service 有关,ssh service 应该是违反了 tos

    https://www.right.com.cn/forum/thread-7538266-1-1.html
    https://docs.github.com/en/site-policy/github-terms/github-terms-for-additional-products-and-features#actions

    如果 lz 是开了个正经的 project 然后 setup actions ,没有违反任何 tos 的话,那应该没道理被封
    Senorsen
        15
    Senorsen  
       344 天前
    翻到一个老帖子,也要引以为鉴:
    > 回复说我的账号只用 action ,属于滥用(回复里说的比较委婉)
    > 回复还说我的账号 action 只与第三方网站通讯,所以也违反条款。
    https://www.v2ex.com/t/817831
    nullyouraise
        16
    nullyouraise  
       344 天前
    定期维护一下也是可以的,我自己本地维护了一个 Chromium ,只在大版本更新时更新一下 patch ,已经搞了四年了,之前还放到 GitHub 了,后来懒得更新就没再 push 过,只自己用了

    另外 Chromium 没办法用 GitHub Actions 编译,13900k 编译一次都要近一小时,Actions 的免费时长根本不够用;此外编译需要 100G 左右硬盘空间,Actions 也没有这么多
    fengjianxinghun
        17
    fengjianxinghun  
       342 天前
    @Senorsen 反正别光看 tos 实际就是没有 ssh service ,fork action 都会被封。具体风控规则不明,不怕封号了可以试,我是不敢。
    mortal
        18
    mortal  
       340 天前
    @nullyouraise #16 老哥有没有编译教程😂
    nullyouraise
        19
    nullyouraise  
       340 天前   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1677 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:45 · PVG 00:45 · LAX 09:45 · JFK 12:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.