目录导航
介绍
渴望数据的大型公司主导着数字世界,但很少或根本不尊重您的隐私。迁移到高度重视安全性的开源应用程序将有助于阻止公司、政府和黑客记录、存储或出售您的个人数据。
注意:请记住,没有软件是完美的,遵循良好的安全实践很重要。
密码管理器
| 提供者 | 描述 |
|---|---|
| BitWarden | 具有云同步功能的全功能开源密码管理器。BitWarden 易于使用,具有干净的 UI 和适用于桌面、Web 和移动设备的客户端应用程序。 |
| KeePass | 强化、安全和离线的密码管理器。没有内置云同步功能,但被认为是安全密码管理器的黄金标准。KeePass 客户端:Strongbox (Mac 和 iOS)、KeePassDX (Android)、KeeWeb (基于 Web/自托管)、KeePassXC (Windows、Mac 和 Linux) ,在awesome-keepass by @lgg查看更多 KeePass 客户端和扩展。 |
| LessPass (自托管) | LessPass 有点不同,因为它使用网站名称的哈希、您的用户名和您重复使用的单个主密码来生成您的密码。它无需您存储或同步您的密码。他们有适用于所有常见平台的应用程序和一个 CLI,但您也可以自行托管它。 |
值得注意的提及
Password Safe是由Bruce Schneiser设计的离线、开源密码管理器,具有适用于 Windows、Linux、MacOS、Android 和 iOS 的原生应用程序,并支持 YubiKey。UI有点陈旧,没有官方的浏览器扩展,使用起来比其他选项稍微不方便
PassBolt对于团队来说是一个不错的选择。它是免费的、开源的、自托管的、可扩展的和基于 OpenPGP 的。它特别适合开发和 DevOps 使用,具有终端、浏览器和聊天的集成,并且可以轻松扩展为自定义使用,并使用 Docker 快速部署
1Password(专有)是一个功能齐全的跨平台同步密码管理器。自托管数据免费(或每月 3 美元托管)。请注意,1Password 不是完全开源的,但他们会定期发布其独立安全审计的结果,并且他们在透明地披露和修复漏洞方面享有盛誉
其他开源 PM:Buttercup、Firefox Loxkwise、Clipperz、Pass、Encryptr、Padloc、TeamPass、PSONO、UPM、Gorilla、Pass (UNIX)、Seahorse(用于 GNOME)、GNOME Keyring、KDE Wallet Manager。
如果您使用的是已弃用的 PM,则应该迁移到积极维护的东西。这包括:Mitro、Rattic、JPasswords、Passopolis、KYPS、Factotum。
另请参阅 密码管理清单
双因素身份验证
| 提供者 | 描述 |
|---|---|
| Aegis (安卓) | 适用于 Android 的免费、安全和开源的身份验证器应用程序。具有备份/恢复功能和可定制的深色模式 UI |
| AndOTP(安卓) | 另一个开源、安全的身份验证器应用程序。AndOTP 拥有强大的用户基础 |
| Tofu (iOS) | 专为 iOS 设计的易于使用的开源双因素身份验证应用程序 |
| WinAuth (Windows) | 适用于 Microsoft Windows 的便携式加密桌面身份验证器应用程序。WinAuth 具有有用的功能,例如热键和一些额外的安全工具,是桌面高级用户的绝佳伴侣验证器。它是开源且成熟的(自 2010 年中期以来) |
检查哪些网站支持多重身份验证:twofactorauth.org
值得注意的提及
WinAuth (Windows) , mattrubin – 验证器 (iOS) , Authenticator by World (GNOME, Linux) , OTPClient (Linux) , gauth (自托管, 基于网络)
对于 KeePass 用户,TrayTop是一个用于管理 TOTP 的插件——离线并兼容 Windows、Mac 和 Linux。
Authy(专有)因其易用性和设备同步功能而成为新用户的热门选择。云同步可能有用,但也会增加攻击面。Authy 不是开源的,因此不推荐
另请参阅 2FA 安全检查表
文件加密
| 提供者 | 描述 |
|---|---|
| VeraCrypt | VeraCrypt 是开源的跨平台磁盘加密软件。您可以使用它来加密特定文件或目录,或整个磁盘或分区。VeraCrypt 功能非常丰富,具有全面的加密选项,而 GUI 使其易于使用。它有一个 CLI 版本和一个便携版。VeraCrypt 是(现已弃用的)TrueCrypt 的继任者。 |
| Cryptomator | 云文件的开源客户端加密- Cryptomator 旨在与云备份解决方案一起使用,因此保留了单个文件结构,以便可以上传它们。与 VeraCrypt 相比,它也易于使用,但对数据加密方式的技术定制较少。Cryptomator 可在 Windows、Linux 和 Mac 上运行,但也有出色的移动应用程序。 |
值得注意的提及
CryptSetup是在dm-crypt之上使用的方便层。EncFS是一个跨平台的基于文件的加密模块,用于用户本地目录。geli是 FreeBSD 附带的磁盘加密子系统
PGP 可用于加密单个文件和文件夹、准备传输文件或为敏感数据添加额外的安全层。使用 PGP,您可以加密、解密、签名和验证文件和文件夹:请参阅PGP 工具
如果您需要在加密文件之前创建压缩存档,那么PeaZip是一个很棒的小型跨平台开源文件存档实用程序。它允许您创建、打开和提取 RAR TAR ZIP 档案。
浏览器
| 提供者 | 描述 |
|---|---|
| Brave Browser浏览器 | Brave Browser,目前是最受欢迎的私人浏览器之一——它通过使用干净但功能齐全的 UI 阻止跟踪器来提供速度、安全性和隐私。它还向您支付使用它的BAT 代币。当您打开私人标签/窗口时,Brave 还内置了 Tor。 |
| 火狐 | 比 Chrome、Internet Explorer 和 Safari 更私密,并提供一些漂亮的隐私功能。安装后,您需要进行一些小调整,以保护 Firefox。您可以按照以下指南之一进行操作:恢复隐私、安全角斗士或12Bytes |
| Tor 浏览器 | Tor 提供了额外的匿名层,通过加密您的每个请求,然后将其路由到多个节点,使您的 ISP/提供商几乎不可能跟踪您。它确实使每天的浏览速度变慢了一些,并且某些网站可能无法正常工作。与所有事物一样,都有取舍 |
值得注意的提及
移动浏览器:Bromite (Android)、Firefox Focus (Android/iOS)、DuckDuckGo 浏览器(Android/iOS)、Orbot + Tor (Android)、Onion Browser (iOS)、
附加桌面:WaterFox、Epic Privacy Browser、PaleMoon、Iridium和Sea Monkey。
警告
这个世界一直在发现和修补新漏洞 – 使用正在积极维护的浏览器,以便接收这些安全关键更新
另请参阅 浏览器和搜索安全清单和推荐的浏览器扩展以保护隐私和安全。
搜索引擎
谷歌经常修改和操纵搜索,并追求消除竞争和将自己的服务推向他人之上。他们还跟踪、收集、使用和销售详细的用户搜索和元数据。
| 提供者 | 描述 |
|---|---|
| DuckDuckGo | DuckDuckGo 是一个非常用户友好、快速和安全的搜索引擎。它是完全私密的,没有跟踪器、cookie 或广告。它也是高度可定制的,具有暗模式、多种语言和功能。他们甚至有一个.onion URL,用于 Tor 和无 Javascript 版本 |
| Qwant | 聚合 Bings 结果的法语服务,并带有它自己的结果。Quant 没有植入任何 cookie,也没有任何跟踪器或第三方广告。它返回无偏见的搜索结果,没有促销。Quant 有一个独特但漂亮的用户界面。 |
| Startpage | 在谷歌上搜索并显示结果的荷兰搜索引擎(略微重新排列)。它有几种配置可以提高使用过程中的隐私性(它不是开源的) |
值得注意的提及
MetaGear, YaCy。Alternativley,托管您自己的Searx实例
另请参阅 浏览器和搜索安全清单
加密消息
如果不使用安全的即时消息应用程序,您的所有对话、元数据等都将不受保护。Signal 是最好的选择之一—它很简单,但也非常安全且以隐私为中心。
| 提供者 | 描述 |
|---|---|
| Signal | 可能是最流行、最安全的私人消息传递应用程序之一,它结合了强加密(请参阅Signal Protocol)与简单的 UI 和大量功能。它在全球范围内广泛使用,易于使用,功能类似于 WhatsApp – 具有即时消息传递、阅读回执、支持媒体附件并允许进行高质量的语音和视频通话。它是跨平台、开源且完全免费的。Signal由斯诺登 (Edward Snowden)推荐,是大多数用户的完美解决方案 |
| Session | Session 是 Signal 的一个分支,但与 Signal 不同,它不需要手机号码(或任何其他个人数据)来注册,而是每个用户都由一个公钥标识。它也是去中心化的,服务器由社区通过Loki Net运行,消息被加密并通过其中几个节点进行路由。所有通信都是端到端加密的,没有元数据。 |
| Silence | 如果您仅限于发送 SMS/MMS,那么 Silence 可以轻松地在 2 台设备之间加密消息。这很重要,因为传统的短信本质上是不安全的。它易于使用、可靠且安全——但由于基于 Internet 的消息传递通常更快、更灵活,它的受欢迎程度有所下降 |
| KeyBase | KeyBase 允许加密实时聊天、群聊以及公共和私人文件共享。它还允许您对消息进行加密签名,并向其他社交身份(Twitter、Reddit、GitHub 等)证明您的所有权,并向其他用户发送或接收 Stella 或比特币。它的使用比 Signal 稍微复杂一些,但它的功能远远超出了消息传递应用程序。Keybase 核心建立在一些出色的密码学特性之上,它是管理公钥、签署消息和群聊的绝佳选择。 |
| Off-The-Record | Off-The-Record (OTR) 消息传递允许您通过即时消息传递/ XMPP进行私人对话。近年来,它的受欢迎程度有所下降,有利于更简单、基于移动的消息传递应用程序,但仍被广泛使用且安全。它提供:加密(因此没有其他人可以阅读您的消息),身份验证(确保通讯员是您认为的人),可否认性(对话后,无法证明您参与了),完美转发保密(如果您的密钥被泄露,无法解密以前的消息)。使用 OTR 的最简单方法是使用IM 客户端插件 |
| OpenPGP | PGP 提供加密隐私和身份验证,用于加密通过现有聊天网络(例如电子邮件或留言板)发送的消息。稍难使用(比 IM 应用程序),速度较慢,但仍被广泛使用。使用GnuPG加密消息,遵循由 IETF 定义的 OpenPGP 标准,在RFC 4880中提出(最初源自 PGP 软件,由 Phil Zimmermann 创建,现在归赛门铁克所有)。 注意/ PGP 的问题:PGP 对初学者来说不容易使用,并且可能导致人为错误/bug,这比使用替代的、更简单的系统总体上要糟糕得多。不要使用32 位密钥 ID– 它们太短而不安全。在EFAIL中定义的 OpenPGP 和 S/MIME 中也发现了漏洞,因此尽管它仍然被认为对于一般用途而言是安全的,但使用加密消息或电子邮件应用程序可能会更好—尤其是对于敏感通信。 |
其他值得注意的提及
其他私有、加密和开源消息传递应用程序包括:Surespot、Chat Secure(仅限 iOS)和Status。请注意,由于开发已停止, Tor Messenger已从列表中删除。
警告
许多消息传递应用程序声称是安全的,但如果它们不是开源的,则无法验证—它们不应该被信任。这适用于Telegram、Threema、Cypher、Wickr、Silent Phone和Viber,仅举几例——这些应用程序不应用于传递任何敏感数据。由于最近的一次收购,Wire 也已被移除
P2P 消息传递
在点对点网络中,没有中央服务器,因此没有任何东西可以被突袭、关闭或强制交出数据。有一些可用的 P2P 网络是开源的、E2E 加密的、通过 Tor 服务路由、完全匿名且无需收集元数据即可运行。
| 提供者 | 描述 |
|---|---|
| Matrix + Riot客户端 | Matrix 是一个用于安全通信的去中心化开放网络,采用 Olm 和 Megolm 进行 E2E 加密。与 Riot 客户端一起,它支持 VOIP + 视频通话和 IM + 群聊。由于 Matrix 具有开放的规范和简单实用的 RESTful HTTP/JSON API,它可以轻松地与现有的第三方 ID 集成以验证和发现用户,以及在其之上构建应用程序。 |
| Session+ LokiNet客户端 | Loki 是一套开源工具,允许用户通过一个分散的、加密的、基于洋葱的网络进行匿名和私密的交易和交流。Session 是一个桌面和移动应用程序,它使用这些私有路由协议来保护消息、媒体和元数据。 |
| Briar | 用于 P2P 加密消息和论坛的基于 Tor 的 Android 应用程序。内容安全地存储在您的设备上(而不是在云中)的位置。它还允许您直接与附近的联系人连接,无需访问互联网(使用蓝牙或 WiFi)。 |
| Riochet | 桌面即时通讯工具,使用 Tor 网络与您的联系人会合,而不会透露您的身份、位置/IP 或元数据。没有服务器可以监控、审查或破解,因此 Ricochet 是安全、自动且易于使用的。 |
| Jami | 具有跨平台 GNU 客户端应用程序的 P2P 加密聊天网络。Jami 支持音频和视频通话、屏幕共享、会议托管和即时消息传递。 |
| Tox + qTox客户端 | 开源、加密、分布式聊天网络,带有桌面和移动客户端 – 请参阅支持的客户端。清晰记录的代码和多语言绑定使开发人员可以轻松地与 Tox 集成。 |
其他值得注意的提及
Cwtch,BitMessage,RetroShare,Tor Messenger (不推荐),TorChat2 (不推荐)
加密电子邮件
电子邮件不安全—您的信息很容易被拦截和阅读。公司扫描您的邮件内容,建立您的个人资料,向您展示有针对性的广告或出售给第三方。通过Prism 计划,政府还可以完全访问您的电子邮件(如果不是端到端加密的话)—这适用于 Gmail、Outlook Mail、Yahoo Mail、GMX、ZoHo、iCloud、AOL 等。
以下电子邮件提供商是私有的、端到端加密 (E2EE) 且相当安全的。这应该与良好的电子邮件实践结合使用
| 提供者 | 描述 |
|---|---|
| ProtonMail | 一种开源的端到端加密匿名电子邮件服务。ProtonMail 具有易于使用和可定制的现代 UI,以及快速、安全的本地移动应用程序。ProtonMail 具有您期望从现代电子邮件服务中获得的所有功能,并且基于简单性而不牺牲安全性。它有使用自定义域的免费计划或高级选项(起价 5 美元/月)。ProtonMail 不需要个人身份信息进行注册,他们有一个.onion服务器,可以通过 Tor 访问,他们接受匿名支付:BTC 和现金(以及普通的信用卡和 PayPal)。 |
| Tutanota | 位于德国的免费和开源电子邮件服务。它有一个基本的直观用户界面、安全的原生移动应用程序、匿名注册和一个 .onion 网站。Tutonota 为允许自定义域的企业提供全功能免费计划或高级订阅(12 美元/月)。 Tutanota不像大多数加密邮件提供商那样使用 OpenPGP,而是使用由对称和非对称算法(使用 128 位 AES 和 2048 位 RSA)组成的标准化混合方法。这会在使用 PGP 与联系人通信时导致兼容性问题。但它确实允许他们加密更多 PGP 邮件提供商无法做到的标头数据(正文、附件、主题行和发件人姓名等) |
| Mailfence | Mailfence 支持 OpenPGP,因此您可以独立于 Mailfence 服务器手动交换加密密钥,让您完全控制。Mailfence 有一个简单的用户界面,类似于 Outlook,它与日历、地址簿和文件捆绑在一起。所有邮件设置都是高度可定制的,但仍然清晰且易于使用。注册不是匿名的,因为需要您的姓名和之前的电子邮件地址。有一个功能齐全的免费计划,或者您可以支付保费,并使用自定义域(2.50 美元/月,或 5 个域 7.50 美元/月),接受比特币、莱特币或信用卡 |
| MailBox.org | 位于柏林的环保型安全邮件提供商。没有免费计划,标准服务费用为每年 12 欧元。您可以使用自己的域,并选择一个包罗万象的别名。它们通过 OpenPGP 以及加密存储提供良好的帐户安全性和电子邮件加密。没有专门的应用程序,但它适用于任何带有 SSL 的标准邮件客户端。目前也没有匿名支付选项. |
有关详细信息,请参阅OpenTechFund- 安全电子邮件。
另请参阅 电子邮件安全清单
其他值得注意的提及
HushMail、Soverin、StartMail、Posteo、Lavabit。对于活动家和记者,请参阅Disroot、Autistici和RiseUp
Beta 邮件提供商
- CTemplar – 专注于私人和安全邮件的瑞士提供商,具有 4096 位 RSA 加密、匿名注册和全面的法律保护。由于它仍处于测试阶段,这些应用程序仍然有点bug.
- CriptText – CriptText 是另一种选择 – 它是加密的、免费的和开源的,但与传统邮件的工作方式略有不同。没有云存储,所有电子邮件都存储在您的设备上。这大大提高了安全性 – 但是您必须登录应用程序(在桌面或移动设备上)才能接收邮件。如果您未登录,则发送给您的邮件将永久丢失。对于移动用户,您的设备可以离线或处于飞行模式长达 30 天,然后邮件才会被丢弃。客户端应用程序非常好,电子邮件在设备之间无缝同步,您可以启用自动和加密备份。由于您的电子邮件存储在您的设备上,因此他们可以离线工作—因此,没有网络客户端。加密是通过Signal 协议完成的(而不是 PGP),并且在与其他 Criptext 用户交流时,您可以使用许多非常简洁的功能。Criptext 仍处于测试阶段,但具有极其流畅的用户体验,并且没有明显的可用性错误。
警告
- 使用 OpenPGP 等端到端加密技术时,电子邮件标头中的某些元数据将不会被加密。
- OpenPGP 也不支持前向保密,这意味着如果您或收件人的私钥被盗,所有以前用它加密的消息都将被公开。你应该非常小心地保护你的私钥安全。
自托管电子邮件
如果您不想信任电子邮件提供商来处理您的邮件,您可以托管自己的邮件服务器。如果没有经验,这可能很难正确配置,尤其是在安全方面。您可能还会发现成本、性能和功能使其成为一个不太有吸引力的选择。如果您决定走这条路,Mail-in-a-box是一个易于部署的开源邮件服务器。它旨在促进网络上的去中心化、创新和隐私,并具有自动化、可审计和幂等的系统配置。其他现成的自托管邮件选项包括Mailu和Mail Cow,它们都是 docker 容器。
电子邮件客户
电子邮件客户端是用于与邮件服务器交互的程序。对于托管电子邮件,您的电子邮件服务提供的 Web 和移动客户端通常就足够了,并且可能是最安全的选择。对于自托管电子邮件,您需要为 Web、桌面或移动设备安装和配置邮件客户端。使用 IMAP 客户端的一个好处是,您将始终对所有电子邮件消息进行离线备份(然后可以对其进行加密和存档),并且许多应用程序允许您聚合多个邮箱以方便使用。桌面邮件客户端不容易受到常见的浏览器攻击,它们的 Web 应用程序对应物就是这样。
| 提供者 | 描述 |
|---|---|
| Mozilla Thunderbird(桌面) | 由 Mozilla 开发和支持的免费和开源电子邮件应用程序 – 它安全、私密且易于定制。Enigmail插件允许轻松加密/解密 PGP 消息,TorBirdy扩展通过Tor 网络路由所有流量。 |
| eM Client (桌面) | 基于生产力的电子邮件客户端,适用于 Windows 和 MacOS。eM Client 具有干净的用户界面、快速的性能和良好的兼容性。有一个付费版本,具有一些方便的功能,包括打盹收到的电子邮件、查看特定线程的回复、消息翻译、稍后发送以及内置日历、任务、联系人和便笺。注意,eM Client 是正当的,不是开源的 |
| RainLoop(web) | 简单、现代、快速的基于 Web 的邮件客户端 |
| RoundCube(web) | 基于浏览器的多语言 IMAP 客户端,具有类似应用程序的用户界面。它提供您期望从电子邮件客户端获得的全部功能,包括 MIME 支持、地址簿、文件夹操作、邮件搜索和拼写检查 |
| FairMail(Andoird) | 适用于 Android 的开源、功能齐全且简单的邮件客户端。通过统一收件箱选项支持无限的帐户和电子邮件地址。干净的用户界面,带有暗模式选项,它也非常轻量级并且消耗最少的数据使用 |
| K-9 Mail(Android) | K-9 是开源的,得到很好的支持和信任——k9 几乎与 Android 本身一样长!它支持多个帐户、搜索、IMAP 推送电子邮件、多文件夹同步、标记、归档、签名、BCC-self、PGP/MIME 等。在它旁边安装 OpenKeychain,以便使用 OpenPGP 加密/解密电子邮件 |
| p≡p(安卓 | p≡p 是第一个设计为零信任架构的网络安全软件套件, |
警告
邮件客户端的一个缺点是其中许多不支持 2FA,因此确保您的设备安全和加密非常重要
匿名邮件转发
在线透露您的真实电子邮件地址可能会使您面临风险。电子邮件别名允许将邮件发送到 [anything]@my-domain.com 并且仍然到达您的主收件箱。这可以保护您的真实电子邮件地址不被泄露。别名是在第一次使用时自动生成的。这种方法可以让您识别哪个提供商泄露了您的电子邮件地址,并通过一键阻止别名。
| 提供者 | 描述 |
|---|---|
| Anonaddy | 一个开源的匿名电子邮件转发服务,允许您创建无限的电子邮件别名。有一个免费的计划。 |
| 33Mail | 长期存在的别名服务。除了接收,33Mail 还允许您匿名回复转发的地址。如果您想使用自定义域,则可以使用免费计划和高级计划(每月 1 美元) |
| SimpleLogin | 完全开源(在GitHub 上查看)具有许多附加功能的别名服务。可以自托管,或者托管版本具有免费计划,以及用于使用自定义域的托管高级选项(每月 2.99 美元) |
| Firefox Private Relay | Relay 由 Mozilla 开发和管理,是一个 Firefox 插件,可让您一键创建电子邮件别名,并将所有消息转发到您的个人电子邮件中。Relay 完全免费使用,对于经验不足的用户来说非常容易使用,而且也是开源的,并且能够自我托管以供高级使用 |
| ForwardEmail | 简单的开源包罗万象的电子邮件转发服务。易于自我托管(参见GitHub),或者托管版本具有免费计划和(3 美元/月)高级计划 |
| ProtonMail有远见 | 如果您已经拥有 ProtonMail 的 Visionary 软件包,则可以使用此功能的实现。非常安全,但不是最划算的(30 欧元/月),并且不包括仪表板 |
或者,您可以托管自己的包罗万象的电子邮件服务。Mailu可以配置为接受通配符,或者对于 Microsoft Exchange,请参阅exchange-catchall
电子邮件安全工具
| 提供者 | 描述 |
|---|---|
| Enigmail | 邮件客户端插件,允许使用 OpenPGP 轻松加密、解密、验证和签署电子邮件。免费且开源,Enifmail 与 Mozilla Thunderbird、Interlink Mail & News 和 Postbox 兼容。他们的网站包含详尽的文档和快速入门指南,一旦设置,使用起来非常方便 |
| TorBirdy | Thunderbird 扩展,将其配置为通过 Tor 网络建立连接,以提供额外的匿名和安全层 |
| Email Privacy Tester | 快速工具,可让您在打开电子邮件之前测试您的邮件客户端是否“阅读”您的电子邮件,并检查您的邮件客户端允许将哪些分析、阅读回执或其他跟踪数据发送回发件人。该系统是开源的(在 GitLab 上),由Mike Cardwell开发并值得信赖,但如果您不想使用您的真实电子邮件,请使用同一提供商创建第二个帐户,应该会产生相同的结果 |
| DKIM Verifier | 验证 DKIM 签名并在电子邮件标题中显示结果,以帮助发现欺骗性电子邮件(并非来自声称的电子邮件地址) |
值得注意的提及
如果您使用 ProtonMail,那么ProtonMail Bridge使您能够将您的电子邮件同步到您自己的桌面邮件客户端。它适用于 Thunderbird、Microsoft Outlook 等
浏览器扩展
以下浏览器加载项可让您更好地控制在浏览时可以加载和执行哪些内容。
| 提供者 | 描述 |
|---|---|
| Privacy Badger | 阻止隐形跟踪器,以阻止广告商和其他第三方秘密跟踪您的去向和查看的页面。下载:Chrome \ Firefox |
| HTTPS Everywhere | 强制网站以 HTTPS 加载,以加密您与网站的通信,使您的浏览更加安全。下载:Chrome \ Firefox |
| uBlock Origin | 阻止广告、跟踪器和恶意软件网站。下载:Chrome \ Firefox |
| uMatrix | 指向并单击以禁止/允许您的浏览器发出的任何类别的请求。使用它来阻止脚本、iframe、广告、facebook 等。类似于 uBlock,但具有更精细的高级使用控制 下载:Firefox \ Chrome \ Opera \ Source |
| ScriptSafe | 允许您阻止某些脚本的执行。下载:Chrome \ Firefox |
| Firefox Multi-Account Containers | Firefox Multi-Account Containers 可让您将在线生活的各个部分分隔成彩色标签,以保护您的隐私。Cookie 由容器分隔,允许您同时使用多个身份或帐户使用网络。下载:火狐 |
| Temporary Containers | 此扩展程序与 Firefox 多帐户容器相结合,可让您隔离每个网站的 cookie 和其他私人数据。下载:火狐 |
| WebRTC-Leak-Prevent | 为用户提供对 Chromium 中 WebRTC 隐私设置的控制,以防止 WebRTC 泄漏。下载:chrome。对于 Firefox 用户,您可以通过浏览器设置来做到这一点。使用browserleaks.com/webrtc测试 WebRTC 泄漏 |
| Canvas Fingerprint Blocker | 在不移除对 HTML5 Canvas 元素的访问权限的情况下阻止指纹。画布指纹通常用于跟踪,此扩展通过禁止浏览器生成真正的唯一密钥来帮助缓解这种情况 下载: Chrome \ Firefox \ Edge \ Source |
| ClearURLs | 此扩展程序将自动从 URL 的 GET 参数中删除跟踪元素,以帮助保护一些隐私 下载:Chrome \ Firefox / Source |
| CSS Exfil Protection | 清理并阻止任何可能旨在窃取数据的 CSS 规则,以防止 Exfil 攻击 下载:Chrome \ Firefox \ Source |
| First Party Isolation | 启用第一方隔离首选项(单击 Fishbowl 图标暂时禁用它) 下载:Firefox |
| Privacy-Oriented Origin Policy | 阻止 Firefox 在最不需要的时候发送 Origin 标头,以保护您的隐私 下载:Firefox \ Source |
| LocalCDN | 模拟远程框架(例如 jQuery、Bootstrap、Angular)并将它们作为本地资源提供。防止不必要的第三方请求跟踪 CDN 下载:Firefox |
| Decentraleyes | 与 LocalCDN 类似,提供常用脚本的本地版本,而不是调用第 3 方 CDN。改善隐私和加载时间。开箱即用,可与常规内容拦截器完美配合。下载:Chrome \ Firefox \ Opera \ Pale Moon \ Source |
| Vanilla Cookie Manager | 一个白名单管理器,通过自动删除不需要的 cookie 来帮助保护您的隐私。下载: Chrome |
| Privacy Essentials | DuckDuckGo 的简单扩展,可对每个站点的安全性进行分级。下载:Chrome \ Firefox |
| Self-Destructing Cookies | 通过存储唯一的 cookie 来防止网站跟踪您(注意指纹通常也用于跟踪)。每当您结束会话时,它都会删除所有相关的 cookie。下载:Chrome \ Firefox \ Opera \ Source |
| Privacy Redirect | 一个简单的网络扩展,将 Twitter、YouTube、Instagram 和谷歌地图请求重定向到隐私友好的替代方案 下载:Firefox / Chrome |
| Site Bleacher | 自动删除 cookie、本地存储、IndexedDBs 和 service workers 下载:Firefox \ Chrome \ Source |
| User Agent Switcher | 欺骗浏览器的用户代理字符串,使您看起来与实际使用的设备、浏览器和版本不同。仅此一项对隐私的影响很小,但与其他工具结合使用,可以让您保持指纹变化,并将虚假信息提供给跟踪您的网站。某些网站会显示不同的内容,具体取决于您的用户代理。 下载:Chrome \ Fireforx \ Edge \ Opera \ Source |
| PrivacySpy | PrivacySpy.org 的公司扩展 – 一个对隐私政策进行评级、注释和存档的开放项目。该扩展程序显示当前网站的隐私政策得分。 下载:Chrome \ Fireforx |
| HTTPZ | Firefox 的简化 HTTPS 升级(HTTPS-Everywhere 的轻量级替代方案) 下载:Firefox |
| Skip Redirect | 一些网页在重定向到最终页面之前使用中间页面。这个插件会尝试从中间 url 中提取最终的 url,如果成功,就会立即去那里 下载:Firefox \ Source |
| Web Archives | 在 10 多个搜索引擎上查看存档和缓存的网页版本,例如 Wayback Machine、Archive.is、Google 等 用于检查网站的合法性和查看更改日志 下载:Firefox \ Chrome \ Edge \ Source |
| Flagfox | 显示描述当前网站服务器位置的国家标志,一目了然很有用。单击图标以获取更多工具,例如站点安全检查、whois、验证等 下载:Firefox |
| Lightbeam | 当您在 Internet 上冲浪时,详细地可视化您正在联系的服务器。由 Gary Kovacs(Mozilla 前首席执行官)创建,在他的TED 演讲中发表。下载:火狐\源 |
| Track Me Not | 帮助保护网络搜索者免受监视和数据分析,通过创建无意义的噪音和混淆,在他们的白皮书中进行了概述。有争议与否这是一个好方法下载:Chrome \ Firefox \ Source |
| AmIUnique Timeline | 使您能够更好地了解浏览器指纹的演变(这是网站用来唯一识别和跟踪您的)。下载:Chrome \ Firefox |
值得注意的提及
扩展源查看器是一个方便的扩展,用于查看另一个浏览器扩展的源代码,它是一个有用的工具,用于验证代码是否符合其所说的
警告
安装不熟悉的浏览器插件时要小心,因为有些插件会损害您的安全和隐私。在撰写本文时,上述列表都是开源、经过验证且“安全”的扩展。安装许多扩展程序可以使您的指纹更加独特,从而使跟踪更容易。在大多数情况下,只需组合使用上述扩展中的几个。
另请参阅 浏览器和搜索安全清单
移动应用
| 提供者 | 描述 |
|---|---|
| Orbot | 系统范围的 Tor 代理,它通过多个节点加密您的连接。您还可以将它与Tor 浏览器一起使用来访问 .onion 网站。 |
| NetGaurd | 适用于 Android 的防火墙应用程序,不需要 root。NetGuard 提供简单和高级的方法来阻止对 Internet 的访问,其中可以单独允许或拒绝应用程序和地址访问您的 Wi-Fi 和/或移动连接。 |
| Island | 沙盒环境,允许您克隆选定的应用程序并在隔离框中运行它们,防止其访问您的个人数据或设备信息 |
| Exodus | 显示您安装的每个应用程序正在使用哪些跟踪器,以便您更好地了解您的数据是如何被收集的。使用来自已扫描 APK 的 Exodus 数据库的数据。 |
| Bouncer | 使您能够临时授予权限,例如,您可以使用相机拍摄个人资料照片,但是当您关闭给定的应用程序时,这些权限将被撤销 |
| XPprivacyLua | 简单易用的 Android 隐私管理器,可让您在应用程序请求私密权限时向其提供虚假数据。解决您撤销权限时应用程序故障导致的问题,并通过仅共享虚假信息来保护您的真实数据。使您能够隐藏通话记录、日历、短信、位置、已安装的应用程序、照片、剪贴板、网络数据等。并防止访问摄像头、麦克风、遥测、GPS 和其他传感器 |
| SuperFreezZ | 可以在每个应用程序的基础上完全冻结所有后台活动。预期目的是加快您的手机速度并延长电池寿命,但此应用程序也是一个很好的实用程序,可以阻止某些应用程序在后台运行时收集数据并跟踪您的操作 |
| Haven | 允许您保护自己、您的个人空间和您的财产——而不影响安全性。利用设备传感器监控附近的空间,Haven 由The Guardian Project与Edward Snowden合作开发 |
| XUMI Security | 检查并解决已知的安全漏洞。有助于确保某些应用程序或设备设置不会危及您的安全或隐私 |
| Daedalus | 无需 root Android DNS 修改器和 hosts/DNSMasq 解析器,通过创建 VPN 隧道来修改 DNS 设置。如果您想将解析器更改为更安全/私有的提供商,或者通过 HTTPS 使用 DNS,则很有用 |
| Secure Task | 当满足某些安全条件时触发操作,例如多次失败的登录尝试或更改监控设置。它确实需要Tasker,并且需要使用ADB设置,设备不需要root |
| Cryptomator | 在将文件和文件夹上传到云存储(例如 Google Drive、One Drive 或 Dropbox)之前,在客户端加密文件和文件夹,这意味着您的任何个人文档都不会以纯文本形式离开您的设备 |
| 1.1.1.1 | 让您使用 CloudFlares 快速且安全的 1.1.1.1 DNS,通过 HTTPS 使用 DNS,还可以选择启用 CloudFlares WARP+ VPN |
| Fing App | 一款网络扫描仪,可帮助您监控和保护您的 WiFi 网络。该应用程序完全免费,但要使用高级控件,您需要一个Fing Box |
| FlutterHole | 轻松监控和控制您的Pi Hole实例。Pi Hole 非常适合安全、隐私和速度 |
| DPI Tunnel | 适用于 Android 的应用程序,它使用各种技术绕过 DPI(深度包检测)系统,该系统用于阻止某些网站(Play 商店中不可用) |
| Blokada | 此应用程序阻止广告和跟踪器,不需要 root 并且适用于您 Android 手机上的所有应用程序。在这里查看它是如何工作的。 |
| SnoopSnitch | 收集和分析移动无线电数据,让您了解您的移动网络安全,并就假基站(IMSI 捕捉器)、用户跟踪和无线更新等威胁向您发出警告 |
| TrackerControl | 监控和控制移动应用程序中有关用户行为/跟踪的隐藏数据收集 |
| Greentooth | 自动禁用蓝牙,然后它就没有被使用。节省电池,并消除一些安全风险 |
| PrivateLock | 根据移动力/加速度自动锁定手机 |
| CamWings | 防止后台进程未经授权访问您的设备摄像头。更好的是,使用网络摄像头贴纸 |
| ScreenWings | 防止后台进程获取未经授权的屏幕截图,这可能会暴露敏感数据 |
| AFWall+ | Android Firewall+ (AFWall+) 是一个用于root Android 设备的高级 iptables 编辑器 (GUI),它对允许哪些 Android 应用程序访问网络提供了非常细粒度的控制 |
| Catch the Man-in-the-Middle | 简单的工具,它比较从您的设备看到的 SSL 证书的 SHA-1 指纹,以及从外部网络看到的证书。如果它们不匹配,这可能表示中间人修改请求 |
警告
安装的应用程序过多会增加您的攻击面—只安装您需要的应用程序
其他值得注意的提及
如需更多开源安全和隐私应用程序,请查看以下发布者:Guardian Project、The Tor Project、Oasis Feng、Marcel Bokhorst、SECUSO Research Group和Simple Mobile Tools——所有这些都是值得信赖的开发人员或组织,他们的表现令人惊叹。
有关进攻性和防御性安全性,请参阅 Kali Nethunter应用程序目录
对于高级用户,可以使用以下工具来密切监视您的设备和网络,以检测任何异常活动。用于网络分析的PortDroid ,用于监控网络流量的数据包捕获,用于查看系统日志的SysLog,用于读取已安装应用程序的 .dex 或 .apk 文件的Dexplorer ,以及用于检查设备硬件状态和详细信息的检查和测试。
另请参阅 移动安全清单
在线工具
一系列免费在线工具和实用程序,用于检查、测试和保护
| 提供者 | 描述 |
|---|---|
| ‘;–have i been pwned? | 检查您的凭据(电子邮件地址或密码)是否在数据泄露中遭到破坏。另请参阅Firefox 监视器 |
| εxodus | 检查任何 Android 应用程序有多少和哪些跟踪器。有助于在安装某个 APK 之前了解数据是如何收集的,它还显示了应用程序要求的权限 |
| Am I Unique? | 通过根据设备信息生成指纹,显示您在 Internet 上的可识别性。这是跟踪您的网站数量(即使没有启用 cookie),因此目标不是唯一的 |
| Panopticlick | 检查您的浏览器是否可以防止跟踪。分析您的浏览器和附加组件如何保护您免受在线跟踪技术的侵害,以及您的系统是否经过独特配置 – 因此可识别 |
| Phish.ly | 分析电子邮件、检查 URL 并创建附件的 SHA256 和 MD5 哈希,并带有指向 VirusTotal 的链接。要使用该服务,只需将潜在的恶意或可疑电子邮件转发至[email protected],自动回复将包含结果。他们声称所有电子邮件数据在分析后都会被清除,但明智的做法是不包含任何敏感信息,并使用转发地址 |
| Browser Leak Test | 显示哪些个人身份数据正在通过您的浏览器泄露,因此您可以更好地保护自己免受指纹识别 |
| IP Leak Test | 显示您的 IP 地址和其他相关详细信息(位置、ISP、WebRTC 检查、DNS 等等) |
| EXIF Remove | 从上传的照片或文档中显示和删除 Meta 和 EXIF 数据 |
| Redirect Detective | 检查可疑 URL 重定向到的位置(无需单击它)。让您通过不通过广告软件/跟踪站点重定向来避免被跟踪,或者查看缩短的链接是否真正解析了合法站点,或者查看链接是否是联属网络广告 |
| Blocked.org | 检查给定网站是否被您的移动和宽带互联网服务提供商 (ISP) 应用的过滤器阻止 |
| Virus Total | 分析潜在的可疑网络资源(通过 URL、IP、域或文件哈希)以检测恶意软件类型(注意:文件被公开扫描) |
| Is Legit? | 在从中购买东西之前检查网站或企业是否是骗局 |
| Deseat Me | 帮助您清理在线状态的工具 – 立即获取所有帐户的列表,删除您不使用的帐户 |
| Should I Remove It? | 曾经从您的 Windows PC 上卸载程序并且不确定是什么?我应该删除吗?它是一个 Windows 软件数据库,详细说明它是必不可少的、无害的还是危险的 |
| 10 Minute Mail | 生成临时一次性电子邮件地址,以避免提供您的真实详细信息 |
| MXToolBox Mail Headers | 用于分析电子邮件标题的工具,可用于检查消息的真实性以及了解您在出站消息中透露的信息 |
| SimpleLogin | 在您第一次使用时自动生成新的电子邮件别名,以避免泄露您的真实电子邮件地址。与 10 Minute Mail 不同,这些电子邮件地址是永久性的,并且会被转发到您的真实电子邮件收件箱。其他选项包括33Mail、Anonaddy和ForwardEmail(自托管) |
| BlackLight | 实时网站隐私检查器 – 显示嵌入在给定网站上的跟踪器、第三方 cookie、会话记录服务、击键捕获脚本和分析服务 |
警告
浏览器本质上是不安全的,上传或输入个人详细信息时要小心。
虚拟专用网络
VPN 有利于绕过审查、增加对公共 WiFi 的保护、隐藏您的 IP 地址以及减少您的 ISP 可以记录的数据。但为了获得最佳匿名性,您应该使用Tor。VPN 并不意味着您受到魔法保护或匿名(见下文)。
| 提供者 | 描述 |
|---|---|
| Mullvad | Mullvad 是最好的隐私保护之一,他们有一个完全匿名的注册过程,你根本不需要提供任何细节,你也可以选择匿名支付(使用 Monero、BTC 或现金) |
| ProtonVPN | 来自 ProtonMail 的创建者,ProtonVPN 享有良好的声誉。他们拥有一整套用户友好的本地移动和桌面应用程序。ProtonVPN 是为数不多的还提供免费计划的“值得信赖”的提供商之一 |
其他 VPN 选项
AirVPN具有高级功能并且高度可定制,WindScribe还具有大量功能以及匿名注册,但对于具有出色跨平台应用程序的所有受众来说非常易于使用。另请参阅: Perfect Privacy — TorGuard — IVPN — PureVPN — NordVPN — SwitchVPN — Safer VPN — VirtualShield — Private Internet Access — VPN.ac — VyperVPN
完整的 VPN 比较:thatoneprivacysite.net。
警告
- VPN 不会让您匿名——它只是将您的公共 IP 地址更改为您的 VPN 提供商的地址,而不是您的 ISP。您的浏览会话仍然可以通过您的系统详细信息(例如用户代理、屏幕分辨率甚至打字模式)、cookie/会话存储或您输入的可识别数据链接回您的真实身份。阅读有关指纹识别的更多信息
- 记录 – 如果您选择使用 VPN 是因为您不同意您的 ISP 记录您的完整浏览历史记录,那么请务必记住,您的 VPN 提供商可以看到(并弄乱)您的所有流量。许多 VPN 声称不保留日志,但您无法确定这一点(VPN 泄漏)。看这篇文章了解更多
- IP 泄漏 – 如果配置不正确,您的 IP 可能会通过 DNS 泄漏而暴露。这通常发生在您的系统在不知不觉中访问默认 DNS 服务器而不是匿名网络或 VPN 分配的匿名 DNS 服务器时。阅读更多:什么是 DNS 泄漏、DNS 泄漏测试、如何修复 DNS 泄漏
- 隐身 – 您的对手可以看到您正在使用 VPN(通常来自 IP 地址),但其他系统和浏览器数据仍然可以泄露有关您和您的设备的信息(例如您的本地时区,指示哪个您经营的地区)
- 许多评论都是赞助的,因此有偏见。进行自己的研究,或选择上述选项之一
- 使用Tor(或其他混合网络)可能是匿名的更好选择
注意事项
选择 VPN 时,请考虑以下因素:日志记录策略(日志不好)、管辖权(避免 5 眼)、服务器数量、可用性和平均负载。支付方式(BTC、Monero 或现金等匿名方式更好)、泄漏保护(第一方 DNS 服务器 = 好,并检查是否支持 IPv6)、协议(OpenVPN 和 WireGuard = 好)。最后,他们的应用程序的可用性、用户评论和下载速度。
自托管 VPN
如果您不相信 VPN 提供商不会保留日志,那么您可以自行托管自己的 VPN。这使您可以完全控制,但以匿名为代价(因为您的云提供商将需要您的帐单信息)。请参阅Streisand了解更多信息并开始运行 VPN。 Digital Ocean提供灵活、安全和简单的 Linux 虚拟机,(起价 0.007 美元/小时或 5 美元/月),本指南说明如何在CentOS 7或Ubuntu 18.4+上设置 VPN 。查看更多关于配置OpenVPN或IKEv2的信息。或者,这是Carl Friess在Digital Ocean上的一键式安装脚本。
自托管网络安全
可以在 Raspberry Pi 或其他低功耗计算机上运行的有趣的小项目。为了帮助检测和预防威胁,监控网络和过滤内容
| 提供者 | 描述 |
|---|---|
| Pi-Hole | 网络级广告和 Internet 跟踪器阻止应用程序,充当 DNS 沉洞。Pi-Hole 可以显着加快您的互联网速度、删除广告和阻止恶意软件。它带有一个漂亮的网络界面和一个具有监控功能的移动应用程序,它是开源的,易于安装且使用非常广泛 |
| IPFire | 基于 Linux 的强化、多功能、最先进的开源防火墙。它的易用性、高性能和可扩展性使其适用于所有人 |
| PiVPN | 在任何 Debian 服务器上设置家庭 VPN 的简单方法。支持 OpenVPN 和 WireGuard,椭圆曲线加密密钥高达 512 位。支持多个 DNS 提供程序和自定义 DNS 提供程序 – 与 PiHole 一起很好地工作 |
| E2guardian | 强大的开源网页内容过滤器 |
| SquidGuard | 一个 URL 重定向软件,可用于对用户可以访问的网站进行内容控制。它是作为 Squid 的插件编写的,并使用黑名单来定义访问被重定向的站点 |
| PF Sense | Widley 使用,开源防火墙/路由器 |
| Zeek | 检测您的网络上是否有受恶意软件感染的计算机,以及强大的网络分析框架和监视器 |
不想建?另请参阅:预配置的安全盒
混合网络
混合网络是路由协议,通过一系列节点加密和路由流量,创建难以追踪的通信。它们帮助您保持匿名在线,并且与 VPN 不同 – 没有日志
| 提供者 | 描述 |
|---|---|
| Tor | Tor 提供强大的匿名性,让您可以抵御监视、规避审查并减少跟踪。它默认阻止跟踪器,抵抗指纹并实现多层加密,这意味着您可以自由浏览。Tor 还允许访问 OnionLand:隐藏服务 |
| I2P | I2P 提供了很好的通用传输,它非常适合访问隐藏服务,并且与 Tor 相比有几个技术优势: P2P 对单向短寿命隧道友好,它是使用 TCP 和 UDP 进行分组交换(而不是电路交换) ,并不断地分析对等点,以便选择表现最好的对等点。 I2P 不太成熟,但是完全分布式和自组织的,它的规模较小意味着它还没有被阻止或拒绝太多 |
| Freenet | Freenet 易于设置,提供优秀的朋友间分享与 I2P,并且非常适合匿名发布内容。它的尺寸很大,而且速度很慢,因此不是休闲浏览的最佳选择 |
Tor、I2P 和 Freenet 都是匿名网络——但它们的工作方式非常不同,并且每个都适用于特定目的。因此,一个好的可行的解决方案是将它们全部用于不同的任务。 您可以在此处阅读有关 I2P 与 Tor 的比较的更多信息
值得注意的提及
另请参阅:GNUnet、IPFS、ZeroNet、Panomix和Nym
警告
为了提供低延迟浏览,Tor 不会混合数据包或生成覆盖流量。如果对手足够强大,理论上他们可以观察整个网络,也可以只观察受害者的入口和出口节点。值得一提的是,即使您的 ISP 看不到您在做什么,他们也可以确定您使用的是混合网络,以隐藏这一点——也可以使用 VPN。如果您正在做任何可能使您处于危险之中的事情,那么良好的 OpSec 是必不可少的,因为当局之前已经通过 Tor 网络追踪了犯罪分子,并进行了逮捕。不要让 Tor 为您提供虚假的安全感——注意通过 DNS、其他程序或人为错误导致的信息泄漏。Tor 支持的浏览器可能会落后于其上游分支,并包含可利用的未修补问题。#19
注意:Tor 网络由社区运营。如果您从使用它中受益并希望帮助维持所有人的未经审查的互联网访问,请考虑运行 Tor 中继
代理
代理充当您与 Internet 之间的网关,可用作防火墙或 Web 过滤器,提高隐私性,还可用于提供共享网络连接和缓存数据以加快常见请求。永远不要使用免费代理。
| 提供者 | 描述 |
|---|---|
| ShadowSocks | 安全的 socks5 代理,旨在保护您的互联网流量。开源、超快、跨平台且易于部署,请参阅GitHub 存储库 |
| Privoxy | 具有高级过滤功能的非缓存网络代理,用于增强隐私、修改网页数据和 HTTP 标头、控制访问以及删除广告和其他令人讨厌的互联网垃圾 |
值得注意的提及
V2ray-core是一个构建代理以绕过网络限制并保护您的隐私的平台。查看更多
警告
恶意代理太常见了。始终使用开源软件、自行托管或为信誉良好的云服务付费。切勿使用免费代理;它可以监控您的连接、窃取 cookie 并包含恶意软件。VPN 是一个更好的选择,最好还是使用 Tor 网络。
域名系统
如果不使用安全的、以隐私为中心的 DNS,您的所有 Web 请求都可以清楚地看到。您应该将您的 DNS 查询配置为由尊重隐私并支持 DNS-over-TLS、DNS-over-HTTPS 或 DNSCrypt 的服务管理。
| 提供者 | 描述 |
|---|---|
| CloudFlare | Cloudflare 的 DNS 是性能最高的选项之一,支持 DoH 和 DoT,并具有 Tor 实施,提供世界一流的保护。他们有本机跨平台应用程序,易于设置。 |
| AdGuard | 开源 DNS 提供商,专门拦截广告、跟踪器和恶意域。他们已经过独立审核,不保留日志 |
| SecureDNS | 一个开源 DNS 提供商,具有内置的广告拦截和额外的隐私功能。支持 DoH、DoT 和 DNSCrypt。它的性能不如一些较大的玩家,但在安全性方面仍然是一个不错的选择 |
| NextDNS | 一个广告拦截、隐私保护、绕过审查的 DNS。还带有分析功能,并且能够保护孩子免受成人内容的影响 |
另请参阅此公共 DoH 服务器的完整列表,然后您可以使用DNSPerf检查所选服务器的性能。要了解有关选择安全 DNS 服务器的更多信息,请参阅这篇文章和这篇文章。
值得注意的提及
- Quad9是一个资金充足、性能卓越的 DNS,非常注重隐私和安全性以及易于设置,但有人对一些财务支持者的动机提出了质疑。
- BlahDNS(日本、芬兰或德国)是一个以安全为中心的优秀 DNS
- OpenNIC、NixNet DNS和UncensoredDNS是开源、民主、注重隐私的 DNS
- Unbound是一个验证、递归、缓存的 DNS 解析器,旨在快速和精简。结合现代功能并基于开放标准
- Clean Browsing是保护孩子的好选择,它们提供全面的基于 DNS 的内容过滤
警告
使用加密的 DNS 解析器不会让您匿名,只会让第三方更难发现您的域历史记录。如果您使用的是 VPN,请进行DNS 泄漏测试,以确保某些请求不会被暴露。
DNS 协议
DNS-over-TLS 是由 IETF 在RTC-7858中提出的,然后 2 年后,DNS-over-HTTPS 规范在 2018 年 10 月的RFC8484中进行了概述。DNSCrypt是一种对 DNS 客户端和 DNS 解析器之间的通信进行身份验证的协议。它通过使用加密签名来验证响应是否来自所选的 DNS 解析器并且未被篡改,从而防止 DNS 欺骗。DNSCrypt 是一个久经考验的协议,自 2013 年以来一直在使用,并且仍然被广泛使用。
DNS 客户端
| 提供者 | 描述 |
|---|---|
| DNScrypt-proxy 2 (桌面 – BSD、Linux、Solaris、Windows、MacOS 和 Android) | 一个灵活的 DNS 代理,支持现代加密 DNS 协议,包括 DNSCrypt V2、DNS-over-HTTPS 和匿名 DNSCrypt。还允许通过 Tor、SOCKS 代理或匿名 DNS 中继进行高级监控、过滤、缓存和客户端 IP 保护。 |
| Unbound (桌面 – BSD、Linux、Windows 和 MacOS) | 验证、递归、缓存 DNS 解析,支持 DNS-over-TLS。专为快速、精简和安全而设计的 Unbound 结合了基于开放标准的现代功能。它是完全开源的,最近经过审核。(有关深入的教程,请参阅DNSWatch 的这篇文章。) |
| Nebulo (安卓) | 使用 DNS-over-HTTPS 和 DNS-over-TLS 的非root、小型 DNS 转换器。(注意,由于这使用了Android的VPN API,所以在使用Nebulo的同时不能运行VPN) |
| DNS_Cloak (iOS) | 简单的一切都允许在 iPhone 上使用 dnscrypt-proxy 2。 |
| Stubby (桌面 – Linux、Mac、OpenWrt 和Windows) | 充当本地 DNS 隐私存根解析器(使用 DNS-over-TLS)。Stubby 对从客户端计算机(台式机或笔记本电脑)发送到 DNS 隐私解析器的 DNS 查询进行加密,从而增加最终用户的隐私。Stubby 可以与 Unbound 结合使用 – Unbound 提供本地缓存,而 Stubby 管理上游 TLS 连接(因为 Unbound 还不能重用 TCP/TLS 连接),请参阅示例配置 |
防火墙
防火墙是一个程序,它监视网络上的传入和传出流量,并根据其配置期间设置的规则阻止请求。正确配置的防火墙可以帮助防止尝试远程访问您的计算机,以及控制哪些应用程序可以访问哪些 IP。
| 提供者 | 描述 |
|---|---|
| NetGuard (安卓) | 提供简单和高级的方法来阻止对 Internet 的访问。可以单独允许或拒绝应用程序和地址访问 Wi-Fi 和/或移动连接 |
| NoRoot Firewall (Android) | 当应用程序尝试访问 Internet 时通知您,因此您只需允许或拒绝。允许您根据 IP 地址、主机名或域名创建过滤规则,并且您可以只允许或拒绝应用程序的特定连接 |
| AFWall+ (安卓 – root) | Android Firewall+ (AFWall+) 是一个高级 iptables 编辑器 (GUI),适用于root的 Android 设备,它对允许哪些 Android 应用程序访问网络提供了非常细粒度的控制。 |
| Lockdown (iOS) | iPhone的防火墙应用程序,允许您阻止与任何域的任何连接 |
| SimpleWall (Windows) | 用于控制 Windows 过滤平台 (WFP) 的工具,以便在您的 PC 上配置详细的网络活动 |
| LuLu (Mac OS) | 免费的开源 macOS 防火墙。它旨在阻止未知的传出连接,除非用户明确批准 |
| Little Snitch (Mac OS) | 一个非常精致的应用程序防火墙,允许您轻松管理每个应用程序的互联网连接 |
| OpenSnitch (Linux) | 使所有应用程序的互联网连接可见,允许您在每个应用程序的基础上阻止或管理流量。Little Snitch 应用防火墙的 GNU/Linux 端口 |
| Gufw (Linux) | 适用于 Linux 的开源 GUI 防火墙,允许您阻止某些应用程序的 Internet 访问。支持简单和高级模式,GUI 和 CLI 选项,非常易于使用,轻量级/低开销,正在积极维护并得到强大社区的支持。可通过大多数包管理器安装,或从源代码编译 |
| Uncomplicated Firewall (Linux) | ufw (Uncomplicated Firewall) 是一个 GUI 应用程序和 CLI,它允许您iptables更轻松地配置防火墙 |
| IPFire (硬件) | IPFire 是一种基于 Linux 的强化、多功能、最先进的开源防火墙。易于安装在树莓派上,因为它重量轻且高度可定制 |
| Shorewall (硬件) | Linux 的开源防火墙工具,它建立在 Linux 内核中内置的Netfilter系统之上,使用iptables可以更轻松地管理更复杂的配置方案 |
| OpenSense (硬件) | 用于保护网络的企业防火墙和路由器,建立在 FreeBSD 系统上 |
警告
有不同类型的防火墙,用于不同的环境。这并没有忽略配置操作系统防御的需要。按照这些说明在Windows、Mac OS、Ubuntu和其他Linux ditros中启用防火墙。即使配置正确,启用防火墙也不能保证不良网络流量无法通过,尤其是在您没有 root 权限的情况下,在引导期间。
广告拦截器
有几种不同的方式来阻止广告——基于浏览器的广告拦截器、基于路由器/设备的拦截器或 VPN 广告拦截器。通常,它们通过获取维护的主机列表并通过它过滤每个域/ IP 来工作。有些还有其他方法来检测基于模式数学的某些内容
| 提供者 | 描述 |
|---|---|
| Pi-Hole (服务器/虚拟机/ Pi) | 功能强大的全网络广告拦截器。开箱即用,重量轻,具有直观的 Web 界面,但仍允许高级用户进行大量高级配置。除了阻止广告和跟踪器外,Pi-Hole 还可以显着提高您的网络速度。仪表板有详细的统计数据,如果需要,可以轻松暂停/恢复 Pi-Hole。 |
| Diversion(路由器) | 一个 shell 脚本应用程序,用于管理运行Asuswrt-Merlin 固件(包括其分支)的受支持路由器上的广告拦截、Dnsmasq 日志记录、Entware 和 pixelserv-tls 安装等 |
| DN66(安卓) | 适用于 Android 的基于 DNS 的主机和广告拦截器。易于配置,但默认配置使用几个广受推崇的主机文件。旨在阻止广告、恶意软件和其他奇怪的东西 |
| BlockParty (iOS/MacOS) | 原生 Apple (Swift) 应用程序,用于系统范围的广告拦截。可以使用自定义主机列表进行自定义,主要用于广告拦截 |
| hBlock (Unix) | 一个符合 POSIX 标准的 shell 脚本,专为类 Unix 系统设计,它获取从多个来源提供广告、跟踪脚本和恶意软件的域列表,并创建一个主机文件(也支持其他格式),以防止您的系统连接到他们。旨在通过阻止广告、跟踪和恶意软件相关域来提高安全性和隐私性 |
| Ad Block Radio(声音) | Python 脚本,它使用机器学习来阻止实时音频流中的广告,例如广播、播客、有声读物和音乐平台(例如 Spotify)。观看现场演示 |
| uBlock Origin(浏览器) | 适用于 Firefox 和 Chromium(Chrome、Edge、Brave Opera 等)的轻量级、快速浏览器扩展,可阻止跟踪、广告和已知恶意软件。uBlock 开箱即用,易于使用,但也具有高度可定制的高级模式,具有可在每个站点上配置的点击式防火墙 |
| uMatrix(浏览器) | 另一个轻量级浏览器扩展,适用于 Chromium 和 Firefox 浏览器。uMatrix 更像是一个防火墙,让您可以选择对资源阻塞的各个方面进行超细粒度的控制。可以同时使用 uBlock(用于简单/装饰性广告屏蔽)和 uMatrix(用于详细 JavaScript 屏蔽) |
值得注意的提及
AdGuardHome是一个跨平台的 DNS 广告拦截器,类似于 Pi Hole,但具有一些附加功能,如家长控制、每设备配置和强制安全搜索的选项。对于有小孩的家庭来说,这可能是一个很好的解决方案。
一些 VPN 具有广告跟踪拦截功能,例如带有 PerfectPrivacy 的 TrackStop。 Private Internet Access、CyberGhost、PureVPN和NordVPN也具有广告拦截功能。
主机阻止列表
| 提供者 | 描述 |
|---|---|
| SomeoneWhoCares/ Hosts | 由 Dan Pollock 维护的最新主机列表 – 让互联网不再糟糕(尽可能) |
| Hosts by StevenBlack | 开源、社区维护的整合和扩展主机文件,来自几个精心策划的来源。您可以选择选择扩展来阻止 p0rn、社交媒体、赌博、假新闻和其他类别 |
| No Google | 完全阻止来自谷歌、亚马逊、Facebook、苹果和微软(或只是一些)的所有直接和间接内容 |
| EasyList | 用于阻止跟踪、社交脚本、坏 cookie 和烦人内容的域的综合列表 |
| iBlockList | 各种列表(免费和付费),用于阻止基于特定主题的内容,诱导:垃圾邮件、滥用、政治、非法、被劫持、不良同行等 |
| Energized | 各种维护良好的列表,以所有常见格式提供,包括数百万主机 |
路由器固件
在您的 Wi-Fi 路由器上安装自定义固件可让您更好地控制安全、隐私和性能
| 提供者 | 描述 |
|---|---|
| OpenWRT | 大量的定制空间和大量支持的插件。状态防火墙、NAT 和动态配置的端口转发协议(UPnP、NAT-PMP + upnpd 等)、负载均衡、IP 隧道、IPv4 和 IPv6 支持 |
| DD-WRT | 简单而强大的用户界面。出色的访问控制、带宽监控和服务质量。IPTables是内置的防火墙,有很好的 VPN 支持以及额外的即插即用和局域网唤醒功能 |
值得注意的提及
Tomato, Gargoyle, LibreCMC和DebWRT
警告
刷新自定义固件可能会使您的保修失效。如果在固件安装/升级过程中断电,您的设备可能会变砖。只要您遵循指南并在受支持的路由器上使用受良好支持的系统,就应该是安全的
网络分析
您居住在防火墙后面的国家/地区,或通过代理访问互联网 – 这些工具将帮助您更好地了解阻止程度、深度数据包检查以及正在分析的数据
| 提供者 | 描述 |
|---|---|
| OONI | Open Observatory of Network Interference – 免费工具和全球观测网络,用于检测互联网上的审查、监视和流量操纵。由 The Tor Project 开发,可用于Android、iOS和Linux |
| Mongol | 一个 Python 脚本,用于查明为中国防火墙工作的机器的 IP 地址。另请参阅gfwlist(中国禁令列表)和gfw_whitelist。有关俄罗斯政府 IP 地址的列表,请参阅antizapret |
| Goodbye DPI | 被动深度数据包检查阻止程序和主动 DPI 规避实用程序,适用于 Windows |
| DPITunnel | 绕过深度数据包检查的 Android 应用 |
| Proxy Checker | 您可以快速检查给定 IP 是否正在使用代理,这也可以通过命令行完成 |
入侵检测
IDS 是一种应用程序,用于监视网络或计算机系统是否存在恶意活动或违反策略,并通知您任何异常或意外事件。如果您正在运行服务器,则必须尽快了解事件,以最大程度地减少损失。
| 提供者 | 描述 |
|---|---|
| Zeek | Zeek(前身为 Bro)被动监控网络流量并寻找可疑活动 |
| OSSEC | OSSEC 是一个基于主机的开源入侵检测系统,可执行日志分析、完整性检查、监控、rootkit 检测、实时警报和主动响应 |
| Kismet | 802.11 layer2 无线网络检测器、嗅探器和入侵检测系统 |
| Snare | SNARE(系统入侵分析和报告环境)是一系列日志收集代理,有助于对审计日志数据进行集中分析。来自操作系统的日志被收集和审计。完全远程访问,通过易于手动使用的 Web 界面,或通过自动化过程 |
云主机
您正在托管一个网站并希望确保您的用户数据安全,或者如果您正在托管自己的文件备份、云生产力套装或 VPN-然后选择尊重您的隐私并允许您匿名注册的提供商,并且将保留您的文件和数据安全很重要。
| 提供者 | 描述 |
|---|---|
| Njalla | Njalla 是一家专注于隐私和安全的域名注册商和 VPN 托管服务提供商。他们拥有并管理自己的所有服务器,这些服务器位于瑞典。他们接受加密,用于匿名支付,如果您不想提供电子邮件地址,他们允许您注册 OTR XMPP。VPS 和域名定价都很合理,套餐起价 15 美元/月 |
| Vindo | 提供匿名共享主机、半托管虚拟专用服务器和域注册 |
| Private Layer | 提供企业级高速离岸专用服务器,拥有自己的数据中心,拥有可靠的隐私政策并接受匿名支付 |
值得注意的提及
另见:1984 年在冰岛工作。Shinjiru,提供离岸专用服务器。Orange 网站专门保护在线隐私和言论自由,托管在冰岛。RackBone(前身为DataCell)提供安全且合乎道德的托管服务,总部位于瑞士。Bahnhof提供高安全性和合乎道德的托管,其数据中心位于瑞典。最后, Simafri有一系列包,支持开箱即用的 Tor
警告
您的数据所在的国家/地区将受当地法律法规的约束。因此,重要的是要避免属于5 只眼睛(澳大利亚、加拿大、新西兰、美国和英国)和其他有权查看您的数据的国际合作组织的管辖区。
域名注册商
| 提供者 | 描述 |
|---|---|
| Njal.la | 具有匿名注册和接受加密货币的隐私感知域服务 |
| Orange Website | 匿名域名注册,在线审查低,因为它们位于 14 眼管辖范围之外(在冰岛) |
预配置的邮件服务器
| 提供者 | 描述 |
|---|---|
| Mail-in-a-box | 易于部署的全功能和预配置的 SMTP 邮件服务器。它包括从网络邮件到垃圾邮件过滤和备份的所有内容 |
| Docker Mailserver | 使用 Docker 的全栈但简单的邮件服务器(smtp、imap、反垃圾邮件、防病毒、ssl …)。非常完整,包含您需要的一切,可定制且非常易于使用 docker 部署 |
警告
不建议每个人都自行托管自己的邮件服务器,设置和维护可能很耗时,正确保护它至关重要
数字笔记
| 提供者 | 描述 |
|---|---|
| Cryptee | 私有和加密的富文本文档。Cryptee 的核心是加密和匿名,它也有一个漂亮和简约的用户界面。您可以从浏览器使用 Cryptee,或下载本机 Windows、Mac OS、Linux、Android 和 iOS 应用程序。附带许多附加功能,例如支持相册和文件存储。缺点是只有前端是开源的。入门计划免费定价,10GB 每月 3 美元,其他计划高达 2TB |
| Standard Notes | S.Notes 是一款免费、开源且完全加密的私人笔记应用程序。它有一个简单的 UI,但包含许多功能,这要归功于Extensions Store,允许:待办事项列表、电子表格、富文本、Markdown、数学编辑器、代码编辑器等等。您可以在多个主题之间进行选择(耶,黑暗模式!),它具有内置的安全文件存储、标签/文件夹、快速搜索等功能。有一个网络应用程序以及本机 Windows、Mac OS、Linux、Android 和 iOS 应用程序。标准笔记正在积极开发,并且完全开源,因此您可以自己托管,或使用他们的托管版本:不使用插件免费或每月 3 美元访问所有功能 |
| Turtle | 一个安全的协作笔记本。自己托管(请参阅repo),或使用他们的托管计划(免费版或每月 3 美元的高级版) |
| Joplin | 跨平台的桌面和移动笔记和待办事项应用程序。轻松组织成笔记本和部分、修订历史记录和简单的 UI。允许轻松地将笔记导入和导出到其他服务或从其他服务导出。支持与云服务同步,通过 E2EE 实现 – 但是只有备份数据被加密 |
| Notable | 基于 Markdown 的桌面笔记编辑器,具有简单但功能丰富的 UI。所有笔记都单独保存为 .md 文件,便于管理。没有移动应用程序,或内置云同步或加密 |
值得注意的提及
如果您已经绑定到 Evernote、One Note 等,那么SafeRoom是一个实用程序,可以在将整个笔记本上传到云端之前对其进行加密。
Org Mode是一个非常全面的 CLI 工具,用于记录笔记、维护待办事项列表、计划项目和创作文档 – 基于快速有效的纯文本系统,从命令行。
对于一个简单的纯文本笔记应用程序,具有强加密,请参阅受保护的文本,它与安全笔记Android 应用程序配合得很好。Laverna是一个跨平台的安全笔记应用程序,其中所有条目都使用降价格式。
云生产力套装
| 提供者 | 描述 |
|---|---|
| CryptPad | 零知识云生产力套装。提供富文本、演示文稿、电子表格、看板、绘制代码编辑器和文件驱动器。所有笔记和用户内容,默认加密,只能通过特定的 URL 访问。主要缺点是缺少 Android、iOS 和桌面应用程序——CryptPad 完全基于网络。您可以使用他们的网络服务,也可以托管您自己的实例(请参阅CryptPad GitHub 存储库)。托管价格:免费 50mb 或每月 5 美元的保费 |
| NextCloud | 一个完整的自托管生产力平台,拥有强大的社区和不断增长的应用商店。NextCloud 类似于(但可以说比)Google Drive、Office 365 和 Dropbox 更完整,最初它是 OwnCloud 的一个分支,但后来出现了分歧。清晰的 UI 和稳定的跨平台原生应用,还支持文件同步。支持加密文件,但需要自己配置。完全开源,因此您可以自行托管(或使用托管解决方案,每月 5 美元起) |
| Disroot | 一个基于自由、隐私、联合和去中心化原则提供在线服务的平台。它是 NextCloud 的一个实现,配置了强加密——它被记者、活动家和举报人广泛使用。它可以免费使用,但有报道称云服务存在可靠性问题 |
| Sandstorm | 用于自托管 Web 应用程序的开源平台。设置完成后,您可以通过 -click 从 Sandstorm App Market安装项目,在灵活性方面类似于 NextCloud |
备份和同步
| 提供者 | 描述 |
|---|---|
| SeaFile | 开源云存储和同步解决方案。文件被分组到库中,可以单独加密、共享或同步。Docker 映像可用于轻松部署,以及适用于 Windows、Mac、Linux、Android 和 iOS 的本机客户端 |
| Syncthing | 2 个或更多客户端之间的连续文件同步。它简单但功能强大,并且完全加密和私有。Syncthing 可以与 Docker 一起部署,并且有适用于 Windows、Mac、Linux、BSD 和 Android 的原生客户端 |
| NextCloud | 功能丰富的生产力平台,可用于在 1 个或多个客户端之间备份和有选择地同步加密文件和文件夹。请参阅设置同步。由社区维护的NextCloud App Store中广泛的插件的主要优势。NextCloud 是 OwnCloud 的硬分叉。 |
值得注意的提及
或者,考虑一个无头实用程序,例如Duplicity或Duplicity。两者都使用rsync算法在 2 个或更多位置之间提供加密且高效的同步。
SpiderOak、Tresorit和Resilio是很好的企业解决方案,都内置了可靠的加密功能
FileRun和Pydio是自托管文件浏览器,具有跨平台同步功能。
警告
您应该始终确保存储在云中的任何数据都经过加密。如果您要托管自己的服务器,请采取必要的预防措施来保护服务器。对于托管解决方案 – 使用强密码,确保您的凭据安全并启用 2FA。
加密云存储
备份重要文件是必不可少的,建议保留一份异地副本。但是许多免费提供者不尊重您的隐私,并且对于敏感文件来说不够安全。避免使用免费的主流提供商,例如 Google Drive、云、Microsoft Overdrive、Dropbox。
建议在同步到云之前对客户端计算机上的文件进行加密。Cryptomator是一个跨平台的开源加密应用程序,专为此而设计。
| 提供者 | 描述 |
|---|---|
| Tresorit | 端到端加密零知识文件存储、同步和共享提供商,总部位于瑞士。该应用程序是跨平台、用户友好的客户端,并具有所有预期的功能。500 GB 每月 6.49 英镑 |
| IceD rive | 非常实惠的加密存储提供商,具有跨平台应用程序。150 GB 的起价为 1.50 英镑/月,1 TB 的起价为 3.33 英镑/月 |
| Sync.com | 为个人、小型企业和个体从业者提供安全的文件同步、共享、协作和备份。2 TB 每月 8 美元起 |
| cloud | 安全且易于使用的云存储,具有跨平台的客户端应用程序。500 GB 每月 3.99 英镑 |
值得注意的提及
另一种选择是使用云计算提供商,自己实现同步功能,并在上传数据之前在本地加密数据——在某些情况下这样做可能会更便宜。您还可以在辅助位置运行您实际拥有的本地服务器,这将减少信任第三方云提供商的需要。请注意,需要一些保护网络的知识。
另见:
文件共享
| 提供者 | 描述 |
|---|---|
| Firefox Send | 简单的私人文件共享。文件在客户端加密,存储在 Mozilla 服务器上,可以受密码保护,并在指定时间范围或特定下载次数后被删除。也可以自托管,repo |
| FilePizza | 使用Web Torrent从浏览器进行基于对等的文件传输。它快速且易于使用,并且不需要安装任何软件。也可以自托管:repo |
| FileSend | 简单的加密文件共享,具有 500mb 的限制和 5 天的保留期。文件通过客户端 AES-256 加密保护,不记录 IP 地址或设备信息。下载后或指定持续时间后,文件将被永久删除。由StandardNotes开发,并与 SN 应用程序内置集成。 |
| OnionShare | 一个开源工具,可让您通过 Tor 服务器安全、匿名地共享任何大小的文件。OnionShare 确实需要安装(与 Windows、Mac OS 和 Linux 兼容),但好处是您的文件可以直接传输给收件人,而无需托管在临时服务器上。主机需要在传输期间保持连接,但一旦完成,该过程将终止。源代码:回购 |
值得注意的建议
Instant.io是另一个基于点对点的解决方案,使用Web Torrent。对于专门传输图像,Up1是一个很好的自托管选项,具有客户端加密功能。最后, PsiTransfer是一个功能丰富的自托管文件拖放,使用流。
浏览器同步
不建议登录您的浏览器,因为它会暴露您的更多浏览数据,并且可以将匿名身份与您的真实帐户联系起来。如果您需要跨设备或浏览器同步您的书签,那么这些工具可以提供帮助,而您不必依赖不可信的第三方。
| 提供者 | 描述 |
|---|---|
| Floccus | 使用NextCloud Bookmarks、WebDAV 服务器(本地或远程)或仅通过LoFloccus的本地文件夹进行简单高效的书签同步。可用于Chrome、Firefox和Edge扩展的浏览器扩展 |
| XBrowserSync | 安全、匿名和免费的浏览器和书签同步。易于设置,无需注册,您可以使用社区运行的同步服务器,也可以使用他们的docker 镜像托管您自己的服务器。扩展程序可用于Chrome、Firefox和Android |
| Unmark | 用作书签的待办事项应用程序的 Web 应用程序。您可以自行托管它,也可以使用他们的托管服务,该服务具有免费和付费等级 |
| Reminiscence | 自托管的书签和存档管理器。Reminiscence 更适合存档有用的网页以供离线查看或保留副本。它是一个 Web 应用程序,可以与 Docker 一起安装在本地或远程服务器上,虽然它有一个全面且有据可查的 REST API,但目前没有浏览器扩展 |
| Geekmarks | 一个 API 驱动、快速使用的书签管理器,具有强大的组织功能。Geekmarks 有完整的文档,但比其他选项更具技术性,扩展目前仅适用于基于 Chromium 的浏览器 |
| Shiori | 用 Go 编写的简单书签管理器,旨在成为Pocket的克隆,它具有简单干净的 Web 界面和 CLI。Shiori 易于导入/导出,便携且具有网页存档功能 |
值得注意的提及
Ymarks是一个基于 C 语言的自托管书签同步服务器和Chrome扩展。 syncmarx使用您的云存储来同步书签(Chrome和Firefox)。 NextCloud Bookmarks有几个社区浏览器扩展,包括 FreedomMarks (Firefox) 和OwnCloud Bookmarks (Chrome)。最后,Turtl Notes内置了出色的链接保存功能
RainDrop是一款功能齐全的多合一书签和网页截图套装。它有漂亮的用户界面、良好的数据控件和一些非常方便的集成和功能。可在桌面、移动、网络和浏览器扩展上使用。问题是它不是开源的,有免费和高级计划,但没有自托管选项。
警告
如果它们泄露了任何设备或引用者信息,则去掉不需要的 GET 参数,以免无意中允许网站链接您的设备。ClearURLs可能会对此有所帮助。
视频电话会议
随着Zoom和其他主流的许多安全问题,很明显需要一个更好、更私密和安全的替代方案。与其他类别一样,我们每个人的“最佳视频通话应用程序”都会有所不同,具体取决于您的情况所需的性能+功能与安全性+隐私的比率。
| 提供者 | 描述 |
|---|---|
| Jami | 一个专注于安全性的免费开源分布式视频、通话和屏幕共享平台。Jami 完全完全点对点,并具有完全的端到端加密,所有通信都具有完美的前向保密性,符合X.509标准。在 Windows、macOS、iOS、GNU/Linux、Android 和 Android TV 上支持诞生。视频质量相当好,但非常依赖网络速度,一些应用程序缺乏功能 |
| Jitsi | 加密、免费和开源的视频通话应用程序,不需要创建帐户/提供任何个人详细信息。可作为 Web 应用程序和适用于 Windows、MacOS、Linux、Android 和 iOS 的本机应用程序提供。您可以使用公共 Jitsi 实例、自行托管自己的实例或使用社区托管实例 |
值得注意的提及
Apache OpenMeetings提供自托管的视频会议、聊天室、文件服务器和会议工具。together.brave.com是 Brave 的 Jitsi Fork。对于远程学习,BigBlueButton是专门针对学校和大学的自托管电话会议软件。它允许主持人/教师完全控制会话,并提供高质量的视频流、多用户白板、分组讨论室和即时聊天。对于 1 对 1 移动视频通话,请参阅加密消息,对于 P2P 单呼和群组通话,请参阅P2P 消息。
PGP 经理
使用GnuPG标准对文本和文件进行签名、验证、加密和解密的工具
| 提供者 | 描述 |
|---|---|
| SeaHorse (Linux/ GNOME) | 用于管理加密密钥和密码的应用程序,与GNOME密钥环集成 |
| Kleopatra (Linux/KDE) | 证书管理器和通用加密 GUI。它支持在 GpgSM 密钥箱中管理 X.509 和 OpenPGP 证书以及从 LDAP 服务器检索证书 |
| GPG4Win (Windows) | Kleopatra 移植到 Windows |
| GPG Suite(MacOS) | MacGPG的继任者。注意:不再免费 |
| OpenKeychain(Android) | 用于管理密钥和加密消息的 Android 应用程序。既可以独立工作,也可以集成到其他应用程序中,包括k9-Mail |
| PGP Everywhere (iOS) | 用于加密/解密文本的 iOS 应用程序。具有本机键盘集成,可快速使用。注:非开源 |
| FlowCrypt(浏览器) | 用于在 Gmail 中使用 PGP 的浏览器扩展,适用于 Chrome 和 Firefox。Android和iOS支持的移动版本 |
| EnigMail(Thunderbird) | Thunderbird和PostBox的 OpenPGP 扩展,在邮件应用程序中集成 nativley |
| p≡p | 适用于 Android、iOS、Thunderbird、Enigmail 和 Outlook 的易于使用的分散式 PGP 加密。企业流行解决方案 |
| Mailvelope(电子邮件) | Mailvelope 是电子邮件应用程序的插件,它使初学者使用 PGP 非常容易。您可以免费使用托管版本,也可以选择托管您自己的实例。它与桌面和移动设备上的所有常见邮件应用程序具有良好的兼容性 |
| PGP4USB(便携式) | 一款便携式桌面应用程序,可直接通过 USB 运行,适用于无需安装即可使用 |
元数据删除工具
Exif / Metadata是“关于数据的数据”,附加到文件中的这些附加信息可能导致我们共享比我们预期更多的信息。例如,如果您将日落图像上传到互联网,但不删除元数据,它可能会显示拍摄地点(GPS 纬度 + 经度)、拍摄设备、精确的相机数据,关于修改的细节和图片来源+作者。从您的照片中删除元数据的社交网络通常会收集和存储它以供自己使用。这显然会带来安全风险,这就是为什么建议在共享之前从文件中删除这些数据。
| 提供者 | 描述 |
|---|---|
| ExifCleaner | 跨平台、开源、高性能的 EXIF 元数据删除工具。这个 GUI 工具使清理媒体文件变得非常容易,并且具有出色的批处理支持。由@szTheory 创建,使用ExifTool |
| ExifTool(CLI) | 独立于平台的开源 Perl 库和 CLI 应用程序,用于读取、写入和编辑元数据。由菲尔·哈维建造。非常好的性能,并且支持所有常见的元数据格式(包括 EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、ICC Profile、Photoshop IRB、FlashPix、AFCP 和 ID3)。官方的GUI 应用程序可用于 Windows,由 Bogdan Hrastnik 实现。 |
| ImageOptim (MacOS) | 本机 MacOS 应用程序,具有拖放图像优化和元数据删除功能 |
值得注意的提及
在没有第三方工具的情况下可以(但速度较慢)执行此操作。对于 Windows,右键单击文件,然后转到:Properties --> Details --> Remove Properties --> Remove from this File --> Select All --> OK.
或者,安装ImageMagic后,只需运行convert -strip path/to/image.png即可删除所有元数据。如果您安装了GIMP,则只需转到File --> Export As --> Export --> Advanced Options --> Uncheck the "Save EXIF data" option.
作为脚本或自动化过程的一部分,您通常需要以编程方式执行元数据删除。
GoLang: go-exif by @dsoprea | JS:@MikeKovarik的 exifr | Python:Piexif由@hMatoba | 红宝石:Exif @tonytonyjan | PHP: @mgeisler 的Pel。
数据橡皮擦
只需删除数据,不会将其从磁盘中删除,恢复已删除的文件是一项简单的任务。因此,为了保护您的隐私,您应该在销毁、出售或赠送硬盘驱动器之前擦除/覆盖磁盘上的数据。
| 提供者 | 描述 |
|---|---|
| Eraser(Windows) | 允许您通过使用精心挑选的模式多次覆盖它来完全删除硬盘中的敏感数据 |
| Hard Disk Scrubber(Windows) | 易于使用,但具有一些高级功能,包括自定义擦拭模式。数据清理方法:AFSSI-5020、DoD 5220.22-M 和随机数据 |
| SDelete (Windows) | Microsoft Secure Delete 是一个 CLI 实用程序,使用 DoD 5220.22-M |
| OW Shredder(Windows) | 适用于 Windows 的文件、文件夹和驱动器便携式橡皮擦。与其他工具捆绑在一起,用于扫描、分析和擦除,以及其他留下的痕迹。包括上下文菜单项、回收站集成 |
| DBAN(可启动) | Darik 的 Boot and Nuke(“DBAN”)是一个独立的启动盘,可以安全地擦除大多数计算机的硬盘。DBAN 将自动并完全删除它可以检测到的任何硬盘的内容,这使其成为批量或紧急数据销毁的合适实用程序。DBAN 是Blanco的免费版本,它是专为遵守法律而设计的企业工具。 |
| nwipe(跨平台) | 基于 C 语言的安全轻量级磁盘擦除器,通过易于使用的 CLI 或 GUI 界面进行操作 |
| shred(Unix) | 一个 CLI 实用程序,可用于安全删除文件和设备,使其极难恢复。另请参阅,擦除以从磁性介质中擦除文件 |
| Secure RemoveUnix) | 用于安全删除文件、目录和整个磁盘的 CLI 实用程序,适用于 Linux、BSD 和 MacOS |
| Mr. Phone(Android/iOS) | 适用于移动设备的专有、封闭源代码取证数据工具套装。数据擦除器允许通过将 Android 和 iOS 连接到 PC 来完全擦除它们。 |
值得注意的提及
无需使用第三方工具。您可以启动到基于 UNIX 的系统,挂载您需要擦除的磁盘,然后使用命令将任意数据写入它。为获得最佳效果,此过程应重复多次。这是在出售或销毁磁盘之前擦除磁盘以保护数据的好方法。
比如dd命令,是一个转换和复制文件的工具,但是运行sudo dd if=/dev/zero of=/dev/sdX bs=1M起来会很快用零覆盖整个磁盘。或badblocks旨在搜索所有坏块,但也可用于通过运行将零写入磁盘sudo badblocks -wsv /dev/sdd。擦除 SSD 的一种有效方法,它使用hdparm向您的目标存储设备发出安全擦除命令,为此,请通过以下网址查看分步说明:wiki.kernel.org。最后,[srm](https://www.systutorials.com/docs/linux/man/1-srm/)可用于安全删除文件或目录,只需运行srm -zsv /path/to/file一次即可。
虚拟机
VM 是一个沙盒操作系统,在您当前的系统中运行。可用于划分和 safley 测试软件,或处理潜在的恶意文件
| 提供者 | 描述 |
|---|---|
| VirtualBox | 开源、功能强大、功能丰富的虚拟化产品,支持 x86 和 AMD64/Intel64 架构。适用于 Windows、MacOS、Linux 和 BSD,个人和企业均可免费使用。VirtualBox 有强大的社区支持,自 2007 年以来一直在积极开发中。 |
| Xen Project(服务器) | 开源虚拟机监视器旨在用作使用相同硬件的多个操作系统的类型 1 管理程序 – 对于服务器非常有用,因为它允许完全独立的虚拟 Linux 机器 |
值得注意的提及
QEMU是一种虚拟硬件仿真工具,这意味着它不太适合创建完全独立的沙箱,但性能比传统虚拟机要好很多。
VMWare在企业界很流行,它不是开源的,虽然有免费版本,但需要许可证才能访问所有功能。VMWare 在具有数百个主机和用户的服务器上运行时性能非常好。对于 Mac 用户来说,Parallels是一个流行的选项,性能非常好,但又不是开源的。对于 Windows 用户,Hyper-V是微软开发的原生 Windows 产品。
社交网络
在过去的十年中,社交网络彻底改变了我们的交流方式,让世界更加紧密地联系在一起——但它是以牺牲我们的隐私为代价的。社交网络是建立在分享的原则之上的——但是你,用户应该能够选择你与谁分享什么,这就是以下网站的目标。
| 提供者 | 描述 |
|---|---|
| Aether | 具有可审核审核的自治社区——与 Reddit 类似的概念,但更注重隐私、民主和透明。Aether 是开源和点对点的,它可以在 Windows、Mac 和 Linux 上运行 |
| Discourse | 一个 100% 开源和自托管的讨论平台,您可以将其用作邮件列表、讨论论坛或长篇聊天室。 |
| Mastodon | 一个无耻的 Twitter 克隆,但是是开源的,分布在独立的服务器上,并且没有与用户时间线混淆的算法 |
| Minds | 一个社交媒体网站,旨在将人们聚集在一起并支持公开对话。通过创建内容获得报酬 |
| Vero | (封闭源代码)基于移动的社交网络,其 USP 是他们“没有广告。没有数据挖掘。没有算法。” 由于 Vero 不是开源的,因此无法验证这些声明的有效性 |
其他值得注意的提及
- diaspora*、Pleroma和Friendica – 分布式、去中心化的社交网络,建立在开放协议之上
- Tildes、Lemmy和notabug.io – 公告板和新闻聚合器(类似于 Reddit)
- Pixelfed – 一个免费的、合乎道德的、联合的照片共享平台(Instagram 的 FOSS 替代品)
主流网络
许多这些较小网站上的内容往往更小众。要继续使用 Twitter,需要进行一些调整,以提高安全性。对于 Reddit,请使用尊重隐私的客户端,例如Reddit。其他主流社交网站不尊重您的隐私,因此应避免使用,但如果您选择继续使用它们,请参阅本指南以获取有关保护您的隐私的提示
视频平台
| 提供者 | 描述 |
|---|---|
| PeerTube | 免费和开源的联合视频平台,使用点对点技术在观看视频时减少单个服务器的负载。您可以自托管,或找到一个实例,然后从任何 PeerTube 服务器观看视频 |
| DTube | 一个去中心化且无广告的视频平台,几乎没有节制,使用加密货币和区块链技术向用户付款。 |
| BitTube | 基于 IPFS 和区块链技术的点对点、去中心化、无审查、无广告的视频共享和直播平台 |
| BitChute | 一个视频托管平台,成立于 2017 年,允许上传者避免在其他平台(例如 YouTube)上执行的内容规则 |
警告
如果没有节制,其中一些平台会容纳视频创作者,他们的内容可能不适合所有观众
YouTube 代理
许多较小的视频网站上的内容通常无法与 YouTube 相提并论。因此,另一种选择是通过代理客户端访问 YouTube,这会减少 Google 可以跟踪的内容)。
- 不错的选择有:Invidio (web)、FreeTube (Windows、Mac OS、Linux)、NewPipe (Android)、YouTube++ (iOS)
- 或者使用youtube-dl (cli) 或youtube-dl-gui (gui) 下载视频。对于音频,有PodSync
视频搜索引擎
Petey Vid是一个无偏见的视频搜索引擎。与普通搜索引擎不同,它对来自许多来源的视频进行索引,包括 Twitter、Veoh、Instagram、Twitch、MetaCafe、Minds、BitChute、Brighteon、D-Tube、PeerTube 等。
博客平台
| 提供者 | 描述 |
|---|---|
| Write Freely | 具有简洁 UI 的免费开源软件,用于创建极简的联合博客。对于高级或企业托管计划,请参阅Write.as或托管您自己的计划,请查看GitHub 上的存储库 |
| Telegraph | 由Telegram创建,Telegraph 快速、匿名且简单 |
值得注意的提及
如果您使用Standard Notes,那么Listed.to是一个具有强大隐私功能的公共博客平台。它使您可以直接通过标准笔记应用程序或 Web 界面发布帖子。其他简约平台包括Notepin.co和Pen.io。
想写一篇简单的文字帖子并自己宣传吗?查看telegra.ph、txt.fyi和NotePin。对于针对活动家的严重匿名平台,请参阅noblogs和autistici。也可以托管一个普通的WordPress网站,而无需将其与您的真实身份相关联,尽管 WP 在隐私方面没有最好的声誉。
当然,您也可以在自己的服务器上托管您的博客,使用标准的开源博客平台,例如Ghost,并将其配置为禁用所有跟踪器、广告和分析。
新闻阅读器和聚合
| 提供者 | 描述 |
|---|---|
| Tiny RSS | 一个免费和开源的基于 Web 的新闻提要 (RSS/Atom) 阅读器和聚合器 |
| RSSOwl | 基于桌面的 RSS 阅读器,具有强大的组织功能 |
| Feedly | 更高级的选择。Feedly 在易于理解的干净和现代界面中显示来自您选择的来源的新闻。它不仅仅适用于 RSS 提要,因为它与许多主要新闻媒体很好地集成在一起。它不会操纵您看到的故事,并且主要是开源的 |
值得注意的提及
对于美国的 iPhone 用户,Tonic是一款很棒的小应用程序,每天为您提供精选的个性化新故事和文章。我们也可以匿名使用Reddit – 您可以使用一次性帐户进行发布。
警告
新闻阅读器应用程序在保护用户隐私方面的声誉不佳,并且经常显示有偏见的内容。许多人都有基于推荐的收入模型,目的是让你点击赞助文章——为此,需要收集大量关于你、你的习惯、兴趣和日常活动的数据。
代理网站
这些网站使您无需使用其主要网站即可访问现有的社交媒体平台,目的是提高隐私和安全性并提供更好的用户体验。以下选项是开源的(如果您愿意,可以自托管),并且它们不显示广告或跟踪(除非另有说明)。
| 提供者 | 描述 |
|---|---|
| Nitter (推特) | Nitter 是一款专注于隐私的免费开源替代 Twitter 前端,它可以防止 Twitter 跟踪您的 IP 或浏览器指纹。它不包含任何 JavaScript,所有请求都通过后端,因此客户端从不直接与 Twitter 对话。它是用 Nim 编写的,超级轻量级,具有多个主题和响应式移动版本,以及可定制的 RSS 提要。使用非官方 API,没有速率限制或不需要开发者帐户 |
| Invidio(YouTube) | YouTube 的以隐私为中心的开源替代前端。它可以防止/减少 Google 跟踪,并添加其他功能,包括纯音频模式、Reddit 评论提要、高级视频播放设置。它超轻量级,不需要启用 JavaScript,您可以导入/导出订阅列表,并自定义您的提要。查看令人反感的公共实例列表 |
| Bibliogram(Instagram) | 使您能够通过他们的代理查看 Instagram 个人资料而无需任何跟踪,非常适合匿名。与使用 Instagram 官方网站相比,Bibliogram 还具有其他几个好处——页面加载速度也更快,它为您提供可下载的图像、消除广告、生成 RSS 提要,并且不会催促您注册。它也可以很容易地自托管。但是,没有通过此服务创建帖子的功能 |
| WebProxy | 免费代理服务,带 Tor 模式(建议启用)。旨在用于逃避审查和访问地理封锁的内容。该服务由DevroLabs维护,他们还运行OnionSite网络代理,他们声称所有流量都是 256 位 SSL 加密的,但这无法验证 – 切勿输入任何潜在的个人身份信息,并将其纯粹用于消费内容 |
值得注意的提及
NewPipe是一个开源的、尊重隐私的安卓 YouTube 客户端。 FreeTube是一款适用于 Windows、MacOS 和 Linux 的开源 YouTube 客户端,提供更加私密的体验,带有原生感觉的桌面应用程序。它基于Invidio API 构建。
警告
涉及代理时 – 仅使用信誉良好的服务,切勿输入任何个人信息
加密货币
| 提供者 | 描述 |
|---|---|
| Monero | 最私密的加密货币之一,因为没有可用的元数据(甚至没有交易金额)。它使用复杂的链上加密方法,如环签名、RingCT、Kovri 和 Stealth 地址,所有这些都有助于保护用户的隐私 |
| ZCash | 使用零知识证明来保护隐私加密技术,允许两个用户在不透露其真实身份或地址的情况下进行交易。Zcash 区块链不记录任何发送或接收地址 |
仍然可以“私下”使用具有公共分类账的货币,但您需要非常小心,不要让任何交易与您的身份或活动相关联。例如,避免需要 KYC 的交易所,并考虑使用Local Bitcoins等服务。如果您使用比特币 ATM,请注意不要被物理跟踪(闭路电视、电话位置、卡支付等)
值得注意的提及
其他以隐私为重点的加密货币包括:PIVX、Bitcoin Private和Verge。
警告
并非所有加密货币都是匿名的,而且如果不使用以隐私为重点的硬币,您的交易记录将永远存在于公开可用的分布式账本上。如果您发送或接收多笔付款,请确保您切换地址或使用混合器,以使任何试图追踪您的交易的人更难。将私钥存储在安全但离线且最好是冷的地方。
注意:加密货币价格可能会下跌。将任何财富存储在加密货币中可能会导致损失。如果您是数字货币的新手,请先进行研究,不要投资超出您的承受能力,并对诈骗和与加密货币相关的恶意软件非常厌倦。
加密钱包
| 提供者 | 描述 |
|---|---|
| Wasabi Wallet(比特币) | 适用于 Windows、Linux 和 MacOS 的开源本机桌面钱包。Wasabi 在 Tor 网络上实现了无需信任的 CoinJoin。观察者和参与者都不能确定哪个输出属于哪个输入。这使得外部各方难以追踪特定硬币的来源和发送地点,这大大提高了隐私性。由于它是无需信任的,因此 CoinJoin 协调员不能侵犯参与者的隐私。Wasabi 与冷存储和硬件钱包兼容,包括 OpenCard 和 Trezor。 |
| Trezor (所有硬币) | 开源、跨平台、离线、加密钱包,兼容1000+币。您的私钥在设备上生成,永远不会离开,所有交易都由 Trezor 签名,确保您的钱包不会被盗。有适用于 Windows、Linux、MacOS、Android 和 iOS 的本机应用程序,但 Trezor 也与其他钱包兼容,例如 Wasabi。您可以通过记下种子或将其复制到另一台设备来备份 Trezor。它使用简单直观,而且具有大量高级功能,令人难以置信的可定制性 |
| ColdCard(比特币) | 一个易于使用、超级安全、开源的比特币硬件钱包,可作为气隙钱包独立使用。ColdCard 基于遵循BIP174标准的部分签名比特币交易。ColdCard 专为比特币打造,具有多种独特的安全功能,安全、无需信任、私密且易于使用。ColdCard 的配套产品包括:BlockClock、SeedPlate和ColdPower |
| Electrum(比特币) | 长期存在的基于 Python 的比特币钱包,具有良好的安全功能。私钥是加密的,不接触互联网,余额是用手表钱包检查的。与其他钱包兼容,因此无需捆绑,可以使用您的秘密种子收回资金。它支持使用 SPV、多重签名和附加组件验证交易的证明检查,以与硬件钱包兼容。分散的服务器索引分类帐交易,这意味着它速度快且不需要太多磁盘空间。这里潜在的安全问题不在于钱包,而在于你的电脑——你必须确保你的电脑是安全的,并且你的钱包有一个长而强的密码来加密它。 |
| Samourai 钱包(比特币) | 一个开源的、仅限比特币的、注重隐私的钱包,具有一些创新功能。 Samourai 钱包可在任何网络条件下工作,具有完全离线模式,可用于冷存储。它还支持全面的隐私功能,包括:STONEWALL,有助于防止地址集群去匿名化攻击,PayNym,允许您在不向所有人透露您的公共地址的情况下接收资金,隐藏模式,从您的设备启动器中隐藏 Samourai,远程短信如果设备被没收或被盗,擦除或恢复钱包的命令,类似于硬币混合器的 Whirlpool,离线 USB 硬件钱包也支持 OpenDime。 |
| CryptoSteel (所有硬币) | 一块钢板,刻有可永久拧紧的字母 – CryptoSteel 是一种良好的防火、防震、防水和不锈钢加密货币备份解决方案 |
警告
避免使用任何在线/热钱包,因为您无法控制私钥的安全性。离线纸质钱包非常安全,但请确保妥善存放 – 以防止被盗、丢失或损坏。
加密货币交易所
| 提供者 | 描述 |
|---|---|
| Bisq | 一个开源的点对点应用程序,允许您买卖加密货币以换取本国货币。完全去中心化,无需注册。 |
| LocalBitcoins | 人与人之间的交流,找到您所在地区的本地人,并直接与他们进行交易,以避免通过任何中央组织。主要专注于比特币、以太币、瑞波币和莱特币,因为越来越难找到你附近出售小众山寨币的人 |
值得注意的提及
对于交易者来说,BaseFEX不需要 ID 并且有良好的隐私政策。BitMex具有更高级的交易功能,但涉及法币的更高价值交易需要身份验证。对于山寨币的买卖,币安的币种范围很广,小额交易不需要身份验证。
虚拟信用卡
生成的虚拟卡提供额外的安全层、改善隐私并帮助防止欺诈。大多数提供商都有附加功能,例如一次性卡(不能多次收费)、卡限制(因此您可以确保您的收费不会超出您的预期)和其他安全控制。
| 提供者 | 描述 |
|---|---|
| Privacy.com | Privacy.com 享有良好的声誉,是美国最大的虚拟卡提供商。与其他提供商不同,它免费供个人使用(每月最多 12 张卡),不收取任何费用,应用程序和支持都很好。有一个保费是每月 10 美元的计划,1% 现金返还 36 卡/月 |
| Revolut Premium | Revoult 更像是一个数字银行账户,注册时需要进行身份检查。虚拟护理仅适用于高级/金属帐户,起价为每月 7 美元。 |
| MySudo | MySudo 不仅仅是虚拟卡,它还是一个用于创建分隔身份的平台,每个身份都有自己的虚拟卡、虚拟电话号码、虚拟电子邮件地址、消息传递、私人浏览等。最多可提供 3 个身份的免费计划,高级计划起价为 0.99 美元/月 |
| Blur | Abine 的 Blur 具有虚拟卡片功能, |
PayLasso、JoinToken、EntroPay现已停产
其他付款方式
| 提供者 | 描述 |
|---|---|
| 现金 | 实际的实物现金仍然是最私密的选择,没有机会留下任何交易记录 |
| 礼品卡 | 礼品卡可以在许多便利店以现金购买,并在网上兑换商品或服务。尽量避免闭路电视。 |
| 预付卡 | 与礼品卡类似,购买现金预付卡可以让您在仅接受卡付款的商店购买商品和服务。 |
为商品和服务付款是隐私和安全冲突的一个很好的例子;最安全的选择是使用信用卡支付,因为大多数提供商都包含全面的欺诈保护,而最私密的选择是使用加密货币或现金支付,因为两者都不能轻易与您的身份绑定。
警告
请注意,信用卡提供商会大量跟踪交易元数据,这些元数据会详细了解每个人的消费习惯。这样做既是为了提供改进的欺诈警报,也是因为数据非常有价值,并且通常被“匿名”并出售给第三方。因此,如果将这些卡用于日常交易,您的隐私就会降低
预算工具
| 提供者 | 描述 |
|---|---|
| Firefly III(自托管) | 一个免费和开源的个人理财经理。Firefly III 具有所有基本功能、简洁明了的 UI,并且易于设置和使用(参见现场演示)。它由强大的社区提供支持,并定期更新新功能、改进和修复。还有一个 hass.io插件,它与Home Assistant配合得很好。注意:由于它是自托管的,因此您需要确保正确配置您的服务器(本地或远程)以确保安全。 |
| EasyBudget (安卓) | 干净且易于使用的应用程序开源预算应用程序。它没有替代品提供的所有功能,但它可以非常有效地进行简单的预算管理和规划 |
| HomeBank(桌面) | 桌面个人财务管理选项。非常适合生成图表、动态报告和可视化交易。HomeBank 可以轻松地从其他软件(Quick Books、Microsoft Money 等)和银行账户(OFX/QFX、QIF、CSV 格式)导入财务数据,并具有您期望的所有基本功能。适用于 Linux 和 Windows(以及适用于 Mac OS 的第 3 方端口) |
| GnuCash(桌面) | 功能齐全的跨平台会计应用程序,适用于个人和小型企业财务。GnuCash 于 1998 年首次发布,历史悠久且非常稳定,尽管 UI 稍显陈旧,但它仍然是一个非常受欢迎的选项。GnuCash 最初是为 Linux 开发的,现在可用于 Windows、Mac 和 Linux,并且还有一个评价很高的官方Android 应用程序 |
值得注意的提及
电子表格仍然是管理预算和财务规划的流行选择。 Collabora或OnlyOffice(在NextCloud上)、Libre Office和EtherCalc是流行的开源电子表格应用程序。Mintable允许您使用可公开访问的 API 从财务数据中自动填充电子表格,从而减少对专用预算应用程序的要求。
其他著名的开源预算应用程序包括:Smart Wallet (iOS)、My-Budget (Desktop)、MoneyManager EX、Skrooge、kMyMoney
另请参阅:个人理财安全提示
移动操作系统
如果您是 Android 用户,则您的设备的核心是内置 Google。谷歌跟踪您,收集大量信息,并记录您的一举一动。自定义 ROM是一种开源的、通常无需 Google 的移动操作系统,可以闪存到您的设备上。
| 提供者 | 描述 |
|---|---|
| LineageOS | 基于Android移动平台,适用于各种设备的免费开源操作系统-Lineage轻量级,维护良好,支持多种设备,并捆绑Privacy Guard |
| GrapheneOS | GrapheneOS 是一个开源的以隐私和安全为重点的移动操作系统,具有 Android 应用程序兼容性。由丹尼尔·米凯开发。GrapheneOS 是一个年轻的项目,目前仅支持 Pixel 设备,部分原因在于其强大的硬件安全性。 |
其他值得注意的提及
Replicant OS是一个功能齐全的发行版,强调自由、隐私和安全。MmniRom、Recursion Remix和Paranoid Android也是流行的选项。Alternativley,Ubuntu Touch是一个基于 Linux (Ubuntu) 的操作系统。它在设计上是安全的,几乎可以在任何设备上运行,但在应用商店方面确实存在不足。
要在 Play Store 上安装应用程序而不使用 Play Store 应用程序,请参阅Aurora Store。对于 Google Play 服务,请参阅MicroG
警告
如果您不是高级用户,不建议您使用自定义 ROM 刷机或刷机。存在风险
- 尽管上述 ROM 忽略了 Google,但它们确实引发了其他安全问题:系统分区上没有 DM-verity,文件系统可能被篡改,并且没有经过验证的引导堆栈,内核/initramfs 也可能被编辑。在继续将自定义 ROM 闪存到您的设备之前,您应该了解风险
- 您将需要依赖来自社区的更新,这可能会较慢发布 – 对于时间紧迫、安全至关重要的补丁来说,这可能是一个问题
- 也有可能通过中断安装或坏软件来破坏您的设备
- 最后,root和刷机将使您的保修失效
桌面操作系统
Windows 10 有许多侵犯您隐私的功能。Microsoft 和 Apple 能够收集您的所有数据(包括但不限于:击键、搜索和麦克风输入、日历数据、音乐、照片、信用卡信息和购买、身份、密码、联系人、对话和位置数据)。Microsoft Windows 也比其他系统更容易受到恶意软件和病毒的影响。
就安全性和隐私性而言,切换到 Linux 是一个不错的选择——您不一定需要使用安全发行版,任何维护良好的稳定发行版都将比专有操作系统好得多
| 提供者 | 描述 |
|---|---|
| Qubes OS(容器化应用程序) | 面向单用户桌面计算的开源安全导向操作系统。它使用虚拟化,在自己的隔间中运行每个应用程序,以避免数据泄露。它以拆分 GPG、U2F 代理和Whonix 集成为特色。Qubes 可以轻松创建一次性虚拟机,这些虚拟机可以快速生成并在关闭时销毁。爱德华·斯诺登推荐Qubes |
| Whonix (虚拟机) | Whonix 是一个匿名操作系统,可以在您当前操作系统内的虚拟机中运行。这是使用 Tor 的最佳方式,并为您的 IP 地址提供非常强大的保护。它还捆绑了其他功能:击键匿名化、时间攻击防御、流隔离、内核自我保护设置和高级防火墙。开源、经过良好审核并拥有强大的社区 – Whonix 基于 Debian、KickSecure和Tor |
| Tails(轻量) | Tails 是一个实时操作系统(因此您可以从 USB 启动,而不是安装)。它通过没有持久内存/在计算机上不留痕迹来保护您的隐私和匿名性。Tails 在系统范围内内置了 Tor,并使用最先进的加密工具来加密您的文件、电子邮件和即时消息。开源,建立在 Debian 之上。Tails 易于安装、配置和使用 |
| Parrot (安全) | Parrot Linux 是一个完整的基于 Debian 的操作系统,面向安全、隐私和开发。它功能齐全但重量轻,非常开放。有 3 个版本:通用版、安全版和法证版。Secure 发行版包括其自己的沙盒系统,该系统通过Firejail和AppArmor与自定义安全配置文件的组合获得。Forensics Edition 捆绑了一套全面的安全/渗透测试工具,类似于 Kali 和 Black Arch |
| Discreete Linux(离线) | 针对记者、活动家和举报人,Discrete Linux 与 Tails 类似,因为它是从外部媒体实时启动的,并且在系统上没有/留下很少的痕迹。该项目的目的是离线提供所有必需的加密工具,以防止基于木马的监视 |
| Alpine Linux | Alpine 是一个基于 musl libc 和 busybox 的面向安全的轻量级发行版。它将所有用户空间二进制文件编译为具有堆栈粉碎保护的与位置无关的可执行文件。对于一些新用户来说,安装和设置可能相当复杂 |
值得注意的提及
Septor是一个基于 Debian 的发行版,带有 KDE Plasma 桌面环境,并且内置了 Tor。专为匿名上网和完成其他基于 Internet 的活动(使用 Thunderbird、Ricochet IM、HexChat、QuiteRSS、OnionShare)而设计。Septor 是轻量级的,但捆绑了所有基本的隐私和安全实用程序(包括:Gufw、Ark、Sweeper、KGpg、Kleopatra、KWallet、VeraCrypt、元数据匿名工具包等)。
Subgraph OS旨在成为一个对抗对手的计算平台,它包括强大的系统范围的攻击缓解,并且所有关键应用程序都在沙盒环境中运行。Subgraph 仍处于测试阶段(在撰写本文时),但仍然经过良好测试,并且具有一些不错的匿名化功能
对于防御性安全,请参阅Kali和BlackArch,它们都捆绑了数百种安全工具,几乎可以胜任任何工作。
其他以安全为中心的发行版包括:TENS OS、Fedora CoreOS、Kodachi和IprediaOS。(避免没有被主动维护的系统)
通用 Linux 发行版
如果您不想使用基于安全的专业发行版,或者您是 Unix 新手,那么只需切换到任何维护良好的 Linux 发行版,将比 Windows 或 Mac OS 更加安全和私密。由于它是开源的,因此社区成员不断对主要发行版进行审核。Linux 默认情况下不授予用户管理员权限 – 这使得您的系统感染恶意软件的可能性要小得多。当然,没有专有的 Microsoft 或 Apple 软件会持续监控您所做的一切。
需要考虑的一些好的发行版是:Fedora、Debian或Arch——它们背后都有一个庞大的社区。Manjaro(基于 Arch)是一个不错的选择,安装过程简单,新手和专家都可以使用。 POP_OS和PureOS是相当新的通用 Linux,非常注重隐私,但也非常受用户欢迎,具有直观的界面和安装过程。请参阅简单比较或详细比较。
BSD
BSD 系统可以说具有非常出色的网络堆栈。OpenBSD旨在最大程度地提高安全性——不仅在于它的特性,还在于它的实现实践。它是银行和关键系统常用的操作系统。FreeBSD更受欢迎,其目标是高性能和易用性。
windows
Windows 用户的一种选择是 LTSC 流,与标准 Win 10 安装相比,它提供了多项安全优势。Windows 10 LTSC(或长期服务渠道)是一个轻量级、低成本的 Windows 10 版本,适用于专门的系统,并且接收较少的定期功能更新。它之所以吸引人,是因为它不附带任何过时的软件或非必要的应用程序,并且需要由用户从头开始配置。这使您可以更好地控制系统上运行的内容,最终提高安全性和隐私性。它还包括几个企业级安全功能,在标准 Windows 10 实例中不可用。它确实需要一些技术知识才能开始使用,但是一旦设置就应该像任何其他 Windows 10 系统一样执行。请注意,您应该只从 Microsoft 的官方页面下载 LTSC ISO
提高当前操作系统的安全性和隐私性
安装新操作系统后,或者如果您选择坚持使用当前操作系统,您可以采取一些措施来提高安全性。请参阅:Windows 10 安全指南、Mac OS 安全指南或Linux 安全指南。
Linux 防御
| 提供者 | 描述 |
|---|---|
| Firejail | Firejail 是一个 SUID 沙盒程序,它通过使用 Linux 命名空间和 seccomp-bpf 限制不受信任的应用程序的运行环境来降低安全漏洞的风险。用 C 编写,几乎没有依赖关系,可以在任何现代 Linux 系统上运行,后台没有运行守护程序,没有复杂的配置,而且超级轻量级和超级安全,因为所有操作都由内核实现。它包括 800 多个常见 Linux 应用程序的安全配置文件。建议使用 FireJail 运行任何可能带来某种风险的应用程序,例如通过传输下载种子、浏览网页、打开下载的附件 |
| Gufw(Linux) | 适用于 Linux 的开源 GUI 防火墙,允许您阻止某些应用程序的 Internet 访问。支持简单和高级模式,GUI 和 CLI 选项,非常易于使用,轻量级/低开销,正在积极维护并得到强大社区的支持。可通过大多数包管理器安装,或从源代码 编译其他流行的防火墙是OpenSnitch和Uncomplicated Firewall,请参阅更多防火墙 |
| ClamTk | ClamTk 基本上是 ClamAV 的图形前端,使其成为适用于 Linux 系统的易于使用、轻量级的按需病毒扫描程序 |
| chkrootkit | 在本地检查 rootkit 的迹象 |
| Snort | 具有实时流量分析和分组能力的开源入侵防御系统 |
| BleachBit | 非常有效地清除缓存和删除临时文件。这可以释放磁盘空间,提高性能,但最重要的是有助于保护隐私 |
值得注意的提及
SecTools.org是一个目录或流行的 Unix 安全工具。
Windows 防御
| 提供者 | 描述 |
|---|---|
| Windows Spy Blocker | 根据一组规则捕获和解释网络流量,并根据交互阻止某些分配。开源,用 Go 编写并作为单个可执行文件交付 |
| HardenTools | 禁用许多有风险的 Windows 功能的实用程序。这些“功能”由操作系统和主要消费者应用程序公开,并且通常被攻击者滥用,以在受害者的计算机上执行恶意代码。所以这个工具只是通过禁用低垂的果实来减少攻击面 |
| ShutUp10 | 一种便携式应用程序,可让您禁用核心 Windows 功能(例如 Cortana、Edge)并控制将哪些数据传递给 Microsoft。(注:免费,但不开源) |
| GhostPress | 防低级键盘记录:提供全系统按键保护,目标窗口截图保护 |
| KeyScrambler | 提供针对软件键盘记录程序的保护。在驱动程序级别加密按键,并在应用程序级别解密,以防止常见的键盘记录器 – 阅读有关其工作原理的更多信息。由王倩开发 |
| SafeKeys V3.0 | 便携式虚拟键盘。在使用公共计算机时保护键盘记录器很有用,因为它可以在没有管理权限的情况下运行 USB |
| RKill | 有用的实用程序,它试图终止已知的恶意软件进程,以便您的正常安全软件可以运行并清除您的计算机感染 |
| IIS Crypto | 用于为 Windows 组件配置加密协议、密码、散列方法和密钥交换的实用程序。对 Windows Server 上的系统管理员有用 |
| NetLimiter | 互联网流量控制和监控工具 |
| Sticky-Keys-Slayer | 通过 RDP 扫描可访问性工具后门 |
| SigCheck | 显示文件版本号、时间戳信息和数字签名详细信息的 CLI 实用程序。根据 Microsoft 的证书信任列表 (CTL) 审核 Windows 主机的根证书存储非常有用,并允许您执行VirusTotal查找 |
| BleachBit | 非常有效地清除缓存和删除临时文件。这可以释放磁盘空间,提高性能,但最重要的是有助于保护隐私 |
| Windows Secure Baseline | 组策略对象、合规性检查和配置工具,为安全部署和维护最新版本的 Windows 10 提供自动化和灵活的方法 |
| USBFix | 检测受感染的 USB 可移动设备 |
| GMER | Rootkit 检测和删除实用程序 |
| ScreenWings | 阻止恶意后台应用程序截屏 |
| CamWings | 阻止未经授权的网络摄像头访问 |
| SpyDish | 基于 PowerShell 构建的开源 GUI 应用程序,可让您在 Windows 10 系统上执行快速简便的隐私检查。突出显示许多严重问题,并提供修复帮助 |
| SharpApp | 基于 PowerShell 构建的开源 GUI 应用程序,用于禁用 Windows 10 中的遥测功能、卸载预安装的应用程序、安装软件包以及使用集成的 PowerShell 脚本自动执行 Windows 任务 |
| Debotnet | 用于控制 Windows 10 中许多与隐私相关的设置的轻量级便携式应用程序,旨在帮助保护私人数据的私密性 |
| PrivaZer | CCleaner 的良好替代品,用于删除不必要的数据日志、缓存、历史记录等 |
警告
(上述软件最后一次测试是在 2020 年 1 月 5 日)。上面的许多工具对于初学者来说不是必需的或不适合的,并且可能会导致您的系统崩溃——根据您的威胁模型,只使用您需要的软件。注意只从官方/合法来源下载,在继续之前验证可执行文件,并检查评论/论坛。在对操作系统进行任何重大更改(例如禁用核心功能)之前,创建一个系统还原点。从安全和隐私的角度来看,Linux 可能是更好的选择。
也可以看看
- github.com/Awesome-Windows/Awesome#security
- github.com/PaulSec/awesome-windows-domain-hardening
- github.com/meitar/awesome-cybersecurity-blueteam#windows-based-defenses
Mac OS 防御
| 提供者 | 描述 |
|---|---|
| LuLu | 免费的开源 macOS 防火墙。它旨在阻止未知的传出连接,除非用户明确批准 |
| Stronghold | 从终端轻松配置 macOS 安全设置 |
| Fortress | macOS 的内核级、操作系统级和客户端级安全性。为跟踪器、攻击者、恶意软件、广告软件和垃圾邮件发送者提供防火墙、黑洞和私有化代理;具有按需和按访问的防病毒扫描 |
反恶意软件
跨平台、开源的恶意软件检测和病毒预防工具
| 提供者 | 描述 |
|---|---|
| CalmAV | 用于检测病毒、恶意软件和其他恶意威胁的开源跨平台防病毒引擎。它用途广泛、性能卓越且非常有效 |
| VirusTotal | 基于 Web 的恶意软件扫描程序,使用 70 多种防病毒扫描程序、URL/域服务和其他工具检查文件和 URL,以提取信号并确定合法性 |
| Armadito | 适用于 Windows 和 Linux 的开源基于签名的防病毒和恶意软件检测。支持 ClamAV 签名和 YARA 规则。具有用户友好的界面,并包括一个用于远程访问的基于 Web 的管理面板。 |
值得注意的提及
对于 Windows 上的一次性恶意软件扫描,MalwareBytes可移植且非常有效,但不是开源的
警告
对于 Microsoft Windows,Windows Defender 在大多数情况下提供完全足够的病毒防护。这些工具仅用于检测/删除受感染机器上的威胁,不建议在后台运行,如果可用,请使用便携式版本。
许多防病毒产品都有自己引入漏洞的历史,其中一些会严重降低您的计算机性能,并降低您的隐私。永远不要使用免费的防病毒软件,也不要相信提供免费解决方案的公司,即使您为高级套餐付费。这包括(但不限于)Avast、AVG、McAfee 和 Kasperky。为了使 AV 有效,它需要对您 PC 的所有区域进行交互访问,因此与值得信赖的供应商合作并密切监控其活动非常重要。阅读更多关于为什么不应该在 Windows 上使用反间谍工具的信息。
家庭自动化
如果您家中有智能设备,您应该考虑在本地运行自动化,而不是使用云服务。这将减少您可能容易受到攻击的漏洞数量。启用网络监控和防火墙也很重要,以确保标记或阻止可疑活动。以下项目将使您在家中控制和监控物联网设备更容易、更安全、更私密。
| 提供者 | 描述 |
|---|---|
| Home Assistant | 将本地控制和隐私放在首位的开源家庭自动化 – 1500 多个集成。在 Raspberry Pi 上运行良好,可通过 Web 界面和 CLI 以及多个控制器应用程序(例如HassKit和官方Home Assistant App)访问 |
| OpenHAB | 为您的家庭提供与供应商和技术无关的开源自动化软件,具有 2000 多种受支持的设备和插件。在 Raspberry Pi 或低功耗家庭服务器上运行良好,还有一些很棒的应用程序,例如官方OpenHabb 应用程序和HomeHabit墙上仪表板 |
| Domoticz | 另一个家庭自动化系统 Domoticz 更适合连接和监控您空间内的传感器。允许您在没有任何人的情况下监控您的环境,但您可以访问数据 |
| Node-RED | Node-RED 是一种用于将硬件设备、API 和在线服务连接在一起的编程工具,它提供了一个基于浏览器的编辑器,可以轻松构建具有广泛支持的节点的流,并且易于在您的网络中本地部署 |
值得注意的提及
要从 IoT 设备创建仪表板,请参阅ThingsBoard。另一个家庭自动化工具是FHEM,它已经存在了一段时间,需要更多的工作才能启动和运行,但仍然是一个流行的选择。
警告
物联网智能家居设备可能会让您面临许多安全风险和漏洞。正确配置它们非常重要,设置强大的唯一密码,关闭数据共享,并在可能的情况下限制互联网访问,以便设备只能在本地网络内通信。有关更多提示,请参阅智能家居安全清单。
人工智能语音助手
在保护消费者隐私方面,谷歌智能助理、Alexa 和 Siri 的声誉并不好,最近发生了许多违规事件。因此,建议您不要在家中放置这些设备。以下是开源 AI 语音助手,旨在提供人声界面,同时保护您的隐私和安全
| 提供者 | 描述 |
|---|---|
| Mycroft | 一个尊重隐私的开源 AI 平台,可在许多平台(Raspberry Pi、桌面或专用 Mycroft 设备)上运行。它正在积极开发中,具有详尽的文档和广泛的可用技能,而且 Mycroft 使开发新技能变得非常容易 |
| Kalliope | 一款开源、模块化、始终在线的语音控制个人助理,专为家庭自动化而设计。它在 Raspberry Pi、Debian 或 Ubuntu 上运行良好,并且易于使用基于 YAML 的简单技能进行编程,但没有广泛的预建插件库 |
值得注意的提及
如果您选择继续使用 Google Home/Alexa,请查看Project Alias。这是一个在 Pi 上运行的小型应用程序,可让您更好地控制智能助手,以实现自定义和隐私。
对于基于桌面的助手,请参阅适用于 Ubuntu 的Dragonfire和适用于 MacOS 的Jarvis。 LinTO、Jovo和Snips是私人设计的语音助手框架,可以由开发人员构建,也可以供企业使用。Jasper、Stephanie和Hey Athena是基于 Python 的语音助手,但它们都不再处于积极开发中。另请参阅OpenAssistant。
警告
如果您正在构建自己的助手,您可能需要考虑使用硬件开关来禁用麦克风。从隐私的角度来看,密切关注问题并检查代码,以确保您对它的工作方式感到满意。
意外收获#1 – 谷歌的替代品
离开谷歌并使用多个替代应用程序将意味着没有单一的跟踪来源。开源和注重隐私的软件是最好的
- 学术:RefSeek、Microsoft Academic、更多学术搜索引擎
- 分析:Matomo、Privalytics、Plausible、Fathom、GoatCounter、ShyNet
- 助手:Mycroft、Kalliope、Project-Alias(用于 Google Home/Alexa)
- 身份验证器:Aegis (Android)、AndOTP (Android)、Authenticator (ios)
- 博客:Write Freely, Telegraph, Ghost(自托管)
- 浏览器:Brave、Firefox(有一些调整)、Vivaldi
- 日历:EteSync、ProtonCalendar、NextCloud 日历(自托管)
- 云:Njalla、Vindo、Private Layer
- DNS:Cloudflare,Quad9
- 文档:NextCloud , CryptPad
- 金融:Wallmine、MarketWatch、Nasdaq Lookup
- 航班:SkyScanner、Kayak(注意:小心追踪,使用 Tor)
- 位置追踪器:Private Kit
- 邮件:ProtonMail,Tutanota,MailFence,HushMail
- 地图:OpenStreetMaps (web)、OsmAnd (Android + iOS)
- 消息:Signal(需要手机号码)、KeyBase、Session(测试版)
- 移动操作系统:LineageOS、GrapheneOS、Ubuntu Touch
- 笔记:Cryptee,Joplin,Standard Notes,Joplin
- 密码:BitWarden、1Password、KeePassXC、LessPass
- 支付(货币):Monero,ZCash
- 支付(虚拟卡):Privacy.com,Revolut(一次性虚拟信用卡)
- Play 商店:F-Droid,APK Mirror
- 搜索:DuckDuckGo、Searx(自托管)、Qwant
- 同步:SeaFile、Syncthing、NextCloud、Duplicacy
- 翻译:Apertium
- 天气:Geometric Weather(Android), Open Weather Map(Web)
- 工作区/群组消息:Riot(通过Matrix),Jami
- 视频平台:PeerTube、BitChute(注意:未审核)、Invidio(YouTube 代理)
意外收获#2 – 开源媒体应用程序
社区维护的媒体软件可以帮助您远离可能不尊重隐私的提供商。以下创意软件包是开源的、跨平台的和免费的。
- 图形:GIMP、Scribus、SwatchBooker、InkScape、Kirta
- 音频:Audacity、Mixxx、MusicBrainz、Qtractor
- 视频:Shortcut,,OpenShot,LightWorks,kdenlive
- 视频转码器:HandBreak
- 媒体播放器:VLC Player
- 媒体服务器:Kodi、Plex、Subsonic、Emby、Gerbera、OpenELEC、OpenFlixr 2、OCMC
- 3D 渲染:Blender、Wings3D
- 游戏引擎:GoDot、SpringEngine、Panda3D、Cocos
- 渲染引擎:LuxCoreRender、AppleSeed
意外收获#3 – 自托管服务
- 分析:Matomo、Privalytics、Plausible、Fathom、GoatCounter、ShyNet
- 博客:Hexo、Noddity、Plume、Ghost、Write.as
- 书签:Shiori , Geek Marks , Ymarks , xBrowserSync , reminiscence , unmark
- 聊天网络:Gotify、GNU:net、Centrifugo、Mumble、Tox、Matrix + Riot、Retroshare
- CMS:Strapi(无头),ApostropheCMS,Plone,Publify,Pico
- 会议:Jami , Jitsu , BigBlueButton (学术机构), OpenMeetings
- 文件管理:Paperless
- 电子商务:Qor、Magento、Grandnode
- 电子邮件客户:Rainloop,RoundCube
- 电子邮件设置:Mailu、MailCow、Mail-in-a-Box
- 文件丢弃:PsiTransfer、Up1、FilePizza
- 文件资源管理器:FileRun,Pydio
- 群件:SoGo、SuitCRM
- 新闻快报:LewsNetter , PHP List , Dada Mail
- 办公套装:CryptPad、LibreOffice、onlyoffice、NextCloud
- 粘贴箱:Snibox,PrivateBin,0bin,Stikked
- 搜索引擎:Searx
- 社交网络:Mastodon、Pixelfed、diaspora
- 票务:Zammad,osTicket,Helpy
- URL Shortners: Shlink , Polr , Istu , Linkr
- 维基/知识共享:Gollum、Outline、Wiki JS、Gitit、TidyWiki5、Cowyo
- XMP:服务器:ejabberd、MongooseIM、OpenFire。客户端: Candy, Converse
意外收获#4 – 自托管系统管理员
- 广告过滤(全网络):PiHole
- 内容过滤器:E2Guardian、Squid Guard
- Cron 作业:HealthChecks
- 仪表板:Homer、Heimdall、SWMP、Uchiwa(用于 Sensu)、Linux Dash
- DNS:CoreDNS、KnotDNS、Bind 9、PowerDNS
- 域控制:DomainMod , OctoDNS , DNSControl
- 防火墙:IPFire、PFSense、OpenSense、ShoreWall
- 日志管理:GoAccess
- 监控:Alerta、Cabot、Cadvisor、CheckMK、Linux Dash, PS Dash
- 代理:ShaddowSocks,Privoxy
- 服务器状态:Statup , BotoX / ServerStatus , Mojeda / ServerStatus , Statusfy , Cachet
- SSH 工具:RTop (sts stats)、Fiche (cli pastepin)
- 存储数据库:OpenTSBD、KairosDB、InfluxData
- VPN: OpenVPN , Pritunl
- Web 服务器:NGINX、Caddy、Light TPD
意外收获#5 – 自托管开发工具
- API 管理:Kong、Krakend、tyk、Hasura
- 基于浏览器的 IDE:Code Server (VS Code)、Che (Eclipse)、ICEcoder、ml-workspace(用于数据科学和 ML)、r-studio(用于 R 编程)
- 代码审查:Phabricator。另请参阅:Git 服务器,其中大多数具有 CR 功能
- 容器:Docker、LXC、OpenVZ
- 持续集成:Drone、Concourse、BuildBot、Strider、Jenkins
- 部署自动化:Capustrano、Fabric、Mina、Munki、Rocketeer、Sup
- 文档生成器:FlatDoc、Docsify、Sphinx、ReadTheDocs、Docusarus、mkdocs
- Git 服务器:GitBucket、GitTea、GitLab、Gogs
- 本地化:Weblate, Translate/ Pootle, Accent
- 无服务器:OpenFaas、IronFunctions、LocalStack、fx
- 静态站点生成:请参阅StaticGen.com
- UI 测试:Selenoid、Zalenium、Selenium
- 更多工具:
- Request Bin – 检查 HTTP 请求并调试 webhook
- Regexr – 用于创建、测试和学习正则表达式的 Web 工具
- JS Bin – 协作式 JavaScript 调试应用程序,创建、测试、运行和发送 Web 代码片段
- Koding – 一个用于协调您的项目特定开发环境的开发平台
- Judge0 – 通过 Web-IDE 的 API 访问的 Web 编译器,用于执行受信任或不受信任的代码
- SourceGraph – 自托管的通用代码搜索和导航引擎
意外收获#6 – 安全测试工具
此列表旨在帮助您审核自己系统的安全性,并帮助检测和消除漏洞。它适用于高级用户和系统管理员。对于渗透测试,请参阅enaqx/awesome-pentest GitHub 列表
- Amass – 深入的攻击面映射和资产发现,帮助您识别问题并保护您的网络
- CloudFail – 确保没有配置错误的 DNS 和旧数据库记录,可通过绕过 CloudFlare 网络访问
- CrackMapExec – 一个 CLI 工具,用于对本地和远程网络的所有区域进行渗透测试,以确保它们的完整性
- DNSdumpster – 一种域研究工具,可以发现与域相关的主机。它可用于测试并确保没有黑客可以利用的可见主机
- DNSTracer – 扫描您的域,以显示哪些记录是公开可见的并且需要混淆
- dnstwist – 域名置换引擎,用于检测抢注、网络钓鱼和企业间谍活动,以保护您网络上的人
- GRR – 专注于远程实时取证的事件响应框架
- Impacket – 用于处理网络协议的 Python 类的集合,专注于提供对数据包的低级编程访问和协议实现本身
- Kali Linux – 一个基于 Debian 的安全测试发行版,捆绑了 1000 个强大的软件包和脚本。节省大量配置系统管理工具和驱动程序的时间
- Lynis – 一种安全工具,可对您的系统执行广泛的健康扫描,以支持系统强化和合规性测试
- Masscan – TCP 端口扫描器,异步检查数据包,将其配置为仅检查您的 IP 范围,并在几毫秒内完成
- Metasploit – 流行且强大的渗透测试框架,用于漏洞利用和漏洞验证 – 与全套工具捆绑在一起,可以轻松地将渗透测试工作流程划分为可管理的部分。对测试您的整个网络 E2E 非常有用
- Moloch – 完整的数据包捕获、索引和数据库系统。后端弹性搜索,通过pcaps快速搜索,前端清晰显示捕获的数据,良好的协议解码支持
- Nikto2 – 完善的 Web 服务器测试工具,可用于在您的 Web 服务器上触发以查找已知的易受攻击的脚本、配置错误和相关的安全问题
- Nmap – 用于网络发现和安全审计的强大实用程序。对您的网络清单、管理服务升级计划以及监控主机或服务正常运行时间很有用
- OpenAudit – 一个应用程序,可准确告诉您网络上的内容、配置方式以及更改时间
- OpenVAS – 功能齐全的安全漏洞管理系统,带有基于 Web 的仪表板。有助于快速轻松地扫描您的网络
- OSQuery – SQL 支持的操作系统检测、监控和分析。非常高性能的跨平台工具,可用于监控主机的更改并提供端点可见性
- OSSEC HIDS – 基于主机的入侵检测系统,易于设置和配置,可执行日志分析、文件完整性检查、策略监控、rootkit 检测、实时警报和主动响应
- Otseca – 搜索和转储您的系统配置 + 生成 HTML 报告
- RouterSploit:用于检查本地嵌入式设备安全性的开发框架,以确保它们是安全的
- Security Onion – 用于入侵检测、企业安全监控和日志管理的 Linux 发行版。它包括一套安全测试工具。用于收集、存储和管理各种系统数据,用于您的网络
- Snort – 针对实时流量分析和数据包记录工具的入侵检测系统
- SPARTA – GUI 工具,可让您更轻松地对网络基础设施进行笔测试
- Wireshark – 流行、功能强大、功能丰富的网络协议分析器。让您可以非常详细地分析网络中发生的一切
- Zeek – 强大的入侵检测系统和网络安全监控,(而不是专注于签名)解码协议并寻找流量中的异常
意外收获#7 – Raspberry Pi/物联网安全软件
- OnionPi – 使用 Raspberry Pi 创建匿名 Tor 代理
- CIRCLean – 基于 Pi 的 USB 消毒器,插入不受信任的 USB,并取出干净的文件
- Pi Hole – 网络范围的广告块,可提高网络性能和隐私
- Project Alias – 让您可以完全控制您的 Google Home 或 Alexa 并更好地保护隐私
- Raspiblitz – 在 Pi 上构建您自己的比特币和闪电节点,另请参阅Trezor钱包
- PiVPN – 用于 Raspberry Pi 的简单低成本但安全的 VPN(或手动设置,如本指南中所述)
- DeauthDetector – 使用 ESP8266 检测解除身份验证帧,有助于了解正在进行的无线攻击
- IPFire – 强化的开源防火墙,可防止对您的网络进行常见攻击。能够在 Pi 上运行
- SquidGuard – 快速免费的 URL 重定向器,可以很好地用作家庭缓存服务器
- E2guardian – 全面的内容过滤,具有强大的配置选项
基于 USB 的项目包括:
- DBAN – 用于破坏数据的可启动硬盘擦除器
- Syncthing – 创建到外部介质的自动备份
- KeePass Portable – 便携式密码管理器。对于硬件加密的密码管理器,请参阅HardPass 2.0
- VeraCrypt – USB 设备的完整驱动器加密
查看更多基于硬件的安全解决方案
更棒的软件列表
该列表侧重于尊重隐私的软件。下面是其他很棒的列表,由开源软件社区维护,按操作系统分类。
- Windows:’many’ 的awesome-windows-apps
- MacOS:@iCHAIT的 awesome-macOS-apps
- Linux:awesome-linux-software by @luong-komorebi
- iOS:@dkhamsing的开源 ios-apps
- Android:@pcqpcq的开源安卓应用程序
- 服务器:awesome-selfhosted by ‘many’
- 更多 GitHub 很棒的列表 →
最后的笔记
结论
许多公司将利润置于人之前,收集数据并利用隐私。他们声称是安全的,但如果不是开源的,则无法对其进行验证,直到出现违规行为并且为时已晚。切换到尊重隐私的开源软件将极大地帮助提高您的在线安全性、隐私性和匿名性。
但是,这并不是您需要做的全部。同样重要的是:使用强大且唯一的密码、双因素身份验证、采用良好的网络实践并注意浏览网页时收集的数据。您可以查看完整的 个人安全清单,了解更多安全提示。
重要注意事项
划分、更新和准备就绪
没有任何软件是真正安全或私密的。除此之外,软件只能与运行它的系统一样安全。漏洞一直在被发现和修补,因此您可以保持系统处于最新状态。数据泄露经常发生,因此请对数据进行分区以最大程度地减少损坏。这不仅仅是选择安全软件,您还必须遵循良好的安全实践。
攻击面
最好将受信任的软件库保持在较小的规模,以减少潜在的攻击面。同时,为太多任务或太多个人数据信任单个应用程序可能是您系统的一个弱点。因此,您需要根据您的威胁模型来判断情况,并仔细规划您信任哪些软件和应用程序来处理您的每个数据段。
便利性与安全
隐私通常在便利性和安全性之间进行权衡。构建威胁模型,并选择适合您的平衡点。以类似的方式,在某些情况下存在隐私和安全冲突(例如,“查找我的手机”在安全方面非常有用,但在隐私方面却很糟糕,匿名支付可能有利于隐私,但不如有保险的法定货币安全)。同样,它是关于评估您的情况,了解风险并做出明智的决定。
托管与自托管的注意事项
使用开源软件的托管或托管应用程序时,通常没有简单的方法来判断运行的版本是否与已发布源代码的版本相同(即使已发布的签名也可能被伪造) . 总是有可能在正在运行的实例中有意或无意地实施了额外的后门。解决此问题的一种方法是自己托管软件。当自托管时,您将确定哪些代码正在运行,但是您还将负责管理服务器的安全性,因此可能不建议初学者使用。
开源软件注意事项
开源软件长期以来一直享有比其闭源软件更安全的美誉。由于错误是透明地提出并快速修复的,因此社区中的专家可以检查代码,并且通常很少或没有数据收集或分析。话虽如此,没有一款软件完全没有错误,因此永远不会真正安全或私密。开源并不能保证某些东西是安全的。互联网上不乏写得不好、过时或有时有害的开源项目。一些开源应用程序或其中捆绑的依赖项只是纯恶意的(例如,当时在 PyPI Repository 中发现了 Colourama)
专有软件注意事项
使用托管或专有解决方案时 – 始终检查隐私政策,研究组织的声誉,并对您信任他们的数据感到厌倦。在可能的情况下,最好为安全关键情况选择开源软件。
维护
选择新应用程序时,请确保它仍在定期维护,因为这样可以解决最近发现的安全问题。处于 Alpha 或 Beta 阶段的软件可能存在缺陷且缺乏功能,但更重要的是 – 它可能具有可供利用的关键漏洞。同样,由于缺乏补丁,不再积极维护的应用程序可能会带来安全风险。使用分叉应用程序或基于上游代码库的软件时,请注意它可能会在比原始应用程序稍晚的日期收到安全关键补丁和更新。
此列表:免责声明
此列表包含从入门级到高级的软件包,这里的许多软件并不适合所有受众。它绝不是安全应用程序的明确列表,仅旨在作为指南,是我和其他贡献者使用并推荐的软件和服务的集合。总会有发现或引入的新漏洞、错误和安全关键故障、恶意行为者和配置不当的系统。您可以自行研究、制定威胁模型并决定在何处以及如何管理您的数据。
如果您在此列表中发现不应再被视为安全或私密/或应附有警告说明的内容,请提出问题。同样,如果您知道缺少某些内容,或者想要进行编辑,那么欢迎请求请求,并且非常感谢!
你可能感兴趣的文章:
转载请注明出处及链接