Исследование показало, что Brave — самый закрытый браузер

Вы обеспокоены тем, что ваш веб-браузер отправляет данные обратно в компанию, которая их создала? Новое исследование, Конфиденциальность веб-браузера: что говорят браузеры, когда они звонят домой? », Рассмотрели шесть популярных настольных веб-браузеров: Google Chrome, Mozilla Firefox, Microsoft Edge (на основе Chromium), Apple Safari, Brave и Яндекс, чтобы понять, что эти браузеры отправить обратно на корабль.

Если вы просто хотите получить результат, то исследование показало, что при стандартном использовании Brave «на сегодняшний день является самым частным из изученных браузеров», за ним следуют Chrome, Firefox и Safari. Brave — единственный веб-браузер, который не использовал идентификаторы, позволяющие отслеживать IP-адрес с течением времени, и не передавал сведения о посещенных веб-страницах на внутренние серверы.

Chrome, Firefox и Safari использовали идентификаторы, которые связаны с экземпляром браузера, которые сохраняются в течение сеансов, и все три разделяют детали веб-страницы с внутренними серверами через функцию автозаполнения поиска браузера.

Исследование показало, что веб-браузер Microsoft Edge на основе Chromium и Яндекс показали худшие результаты, чем другие браузеры в тесте. Оба отправляют идентификаторы, связанные с оборудованием устройства, что означает, что идентификатор сохраняется даже при установке. Edge отправляет UUID оборудования в Microsoft, а Яндекс передает «хеш серийного номера оборудования и Mac-адреса». Оба также, похоже, отправляют информацию о веб-страницах на серверы, которые «кажутся не связанными с автозаполнением поиска».

Исследователь зарегистрировал все сетевые подключения на устройствах, на которых работали браузеры. Соединения Chrome с использованием QUIC / UDP должны были быть заблокированы, чтобы браузер вернулся к TCP. Для проверки зашифрованных данных использовался mitmdump, и, поскольку остатки могут быть проблемой, были предприняты дополнительные меры для удаления всех следов предыдущих установок из систем.

Дизайн теста повторялся несколько раз для каждого браузера.

1. Запустите браузер с новой установкой / новым профилем пользователя.
2. Вставьте URL-адрес в адресную строку, нажмите Enter и запишите действия пользователя.
3. Закройте браузер и перезапустите, запишите сетевую активность.
4. Запустите браузер с новой установкой / новым профилем пользователя и отслеживайте сетевую активность в течение 24 часов.
5. Запустите браузер с новой установкой / новым профилем пользователя, введите URL-адрес и отслеживайте трафик.

Вывод

Для Brave с его настройками по умолчанию мы не обнаружили каких-либо идентификаторов, позволяющих отслеживать IP-адрес с течением времени, и никакого обмена данными о посещенных веб-страницах с внутренними серверами. Chrome, Firefox и Safari имеют общие сведения о веб-страницах, посещаемых внутренними серверами. Для всех трех это происходит с помощью функции автозаполнения поиска, которая отправляет веб-адреса на внутренние серверы в реальном времени по мере их ввода. Кроме того, Firefox включает идентификаторы в свои телеметрические передачи, которые потенциально могут быть использованы для их связывания с течением времени. Телеметрию можно отключить, но по умолчанию она снова включена автоматически. Firefox также поддерживает открытый веб-узел для push-уведомлений, который связан с уникальным идентификатором и поэтому потенциально может также использоваться для отслеживания и который не может быть легко отключен. По умолчанию Safari использует плохой выбор стартовой страницы, которая передает информацию нескольким третьим лицам и позволяет им устанавливать файлы cookie без какого-либо согласия пользователя. В остальном Safari не создавал внешних сетевых подключений и не передавал постоянных идентификаторов, но связанные процессы iCloud действительно устанавливали подключения, содержащие идентификаторы.

С точки зрения конфиденциальности Microsoft Edge и Яндекс качественно отличаются от других исследованных браузеров. Оба отправляют постоянные идентификаторы, которые можно использовать для связывания запросов (и связанных IP-адресов / местоположений) с внутренними серверами. Edge также отправляет аппаратный UUID устройства в Microsoft, а Яндекс аналогичным образом передает хешированный идентификатор оборудования на внутренние серверы. Насколько мы можем судить, это поведение не может быть отключено пользователями. В дополнение к функции автозаполнения поиска, которая разделяет сведения о посещенных веб-страницах, обе передают информацию о веб-страницах на серверы, которые кажутся не связанными с автозаполнением поиска.

Вывод

Исследователь проанализировал состояние браузеров по умолчанию и обнаружил, что у Brave самые удобные настройки конфиденциальности. По крайней мере, некоторые из браузеров могут быть настроены для повышения конфиденциальности путем изменения конфигурации по умолчанию, например отключение функции автозаполнения.

Теперь ваша очередь : как вы относитесь к исследованию?