Ungoogled-Chromium中搜索引擎收集请求的安全隐患分析

Ungoogled-Chromium作为一款注重隐私的浏览器分支，近期被发现存在一个潜在的安全问题：即使禁用了搜索引擎收集功能，浏览器仍会向网页中指定的搜索引擎描述文件发起HTTP请求。

问题现象

当用户访问某些特定网站时（如php.net），浏览器会向该网站指定的OpenSearch描述文件发起请求。这一行为存在两个关键问题：

1. 即使用户已在设置中启用"始终使用安全连接"选项，请求仍通过不安全的HTTP协议发送
2. 即使用户已通过chrome://flags/#disable-search-engine-collection禁用搜索引擎收集功能，请求仍然会被执行

技术分析

通过代码审查发现，相关功能主要涉及两个关键代码路径：

1. Chrome渲染帧观察器(chrome_render_frame_observer.cc) - 负责处理页面中的搜索引擎链接
2. 搜索引擎标签助手(search_engine_tab_helper.cc) - 负责实际的搜索引擎收集逻辑

虽然Ungoogled-Chromium已经通过disable-search-engine-collection标志禁用了部分功能，但请求发送的底层机制仍然保留。这种设计可能导致以下安全隐患：

• 信息泄露风险：即使不收集搜索引擎信息，请求本身就可能暴露用户行为
• 协议降级攻击：通过HTTP发送请求可能被中间人攻击利用

延伸发现

进一步测试发现，类似问题也存在于CSS样式表请求中。当页面包含HTTP协议的CSS链接时：

• 浏览器会实际发送HTTP请求获取样式表
• 虽然由于混合内容策略会阻止应用这些样式
• 但请求本身已经发生，可能泄露信息

相比之下，JavaScript脚本的HTTP链接则会被完全阻止，不会发送任何请求。

解决方案

Ungoogled-Chromium开发团队已经确认该问题，并在125版本中推出了修复方案。修复的核心思路是：

1. 完全移除搜索引擎帮助器的加载逻辑
2. 确保当disable-search-engine-collection标志启用时，相关代码路径完全禁用

用户建议

对于注重隐私和安全性的用户，建议：

1. 及时更新到最新版本的Ungoogled-Chromium
2. 谨慎访问包含OpenSearch描述链接的网站
3. 考虑使用内容安全策略(CSP)进一步限制外部资源加载

这个问题提醒我们，浏览器安全是一个复杂的系统工程，需要从协议处理、功能开关到实际网络请求等多个层面进行全面的隐私保护设计。