Как обновить brave браузер
Чтобы оставаться на шаг впереди от следящих скриптов, мы регулярно выпускаем новые функции и улучшения, связанные с приватностью. Расскажем о четырёх недавних изменениях в конфиденциальности и web-совместимости: время жизни пермиссий, дебаунсер и кое-что ещё.
Разное время жизни пермиссий
Было: всё или ничего Стало: тонкая настройкаНачиная с версии 1.25 браузера Brave (как для настольных ПК, так и для Андроида) появилось больше возможностей контролировать то, как долго сайтам будут доступны мощные, но антиконфиденциальные функции, такие как геолокация, веб-камеры и микрофоны.
Ранее мы использовали обычный способ Chrome для работы с правами доступа, который ограничивал пользователей в их выборе вариантами «навсегда» или «никогда». К примеру, нельзя было сказать «этот сайт может использовать мою камеру, пока я нахожусь на этой странице, но необходимо спросить меня снова в следующий раз». Опции, ограниченные выбором «всё или ничего», поощряют чрезмерную передачу данных, выгодную бигтеху, которому интересно сохранить максимум информации. Так, Apple обнаружила, что когда у пользователей есть возможность ограничить срок доступа к данным геолокации, пользователи стали предоставлять на 68% меньше таких данных, что является существенным улучшением с точки зрения защиты их конфиденциальности.
Пользователи Brave теперь могут выдавать сайтам временные права доступа для более строгого контроля за конфиденциальностью. Стандартные примеры таких возможностей браузера — это веб-камеры, микрофоны, геолокация и датчики движения. Это похоже на средства защиты в других браузерах, но в браузере Brave это, естественно, работает существенно лучше. Так, Safari и Firefox позволяют выдать сайтам постоянный доступ, доступ для определённой страницы или же полностью отказать в доступе, а Brave теперь позволяет пользователям предоставлять сайтам доступ к подобным возможностям на определённый срок времени. В Chrome тестируется что-то подобное, но только для данных геолокации.
Дополнительная защита от переадресующего трекинга
Всё больше браузеров защищают пользователей от самых популярных и очевидных форм трекина в сети, таких как сторонние куки, сторонний localStorage и фингерпринтинг. В ответ трекеры переходят на более изощрённые методы слежки, такие как «трекинг первого уровня», или же методы провязывания вашей идентичности и действий на одном сайте с вашими действиями и идентичностью на других сайтах.
Наиболее популярная форма такого трекинга — это так называемый переадресовывающий трекинг (bounce tracking), при котором сайт добавляет уникальное айди к гиперссылкам перед тем, как вы покидаете этот сайт. Например, трекинговые скрипты Facebook добавляют идентификаторы fbclid к урлам перед тем, как вы покидаете сайт, чтобы скрипты Facebook на сайте назначения могли считать этот идентификатор из адреса URL, что позволит Facebook выстроить цепочку посещений и скормить её хтоническим алгоритмам машинного обучения.
Общепринятое название для такой формы слежки — это bounce tracking, переадресовывающий трекинг, или, говоря более обобщённо, трекинг, основывающийся на веб-навигации. Его идея позволяет обходить оборонительные механизмы браузеров, такие как изоляция или разделение стораджей сайтов, посредством передачи идентификаторов через адреса или редиректы.
На сегодня браузеры плохо защищают от такой формы трекинга. Что-то умеет система Safari Intelligent Tracking Protection 2.0, а Brave защищает пользователей от известных переадресующих трекеров, удаляя параметры трекинга из адресов URL. Эти системы полезны, но неполны и не защищают пользователей от некоторых форм переадресующего трекинга. Мы улучшаем свою защиту от подобных тёмных дел путём уведомления (при включении агрессивного режима) пользователей о том, что они собираются перейти по адресу, который похож на переадресующий трекер. Когда 1) включена агрессивная защита от трекинга и 2) происходит переход по адресу, который списки фильтрации обозначают как подозрительный, наш браузер покажет большой алярм и заблокирует переход (при желании его можно будет продолжить). Мы предполагаем, что в таком виде защита окажется востребованной не для всех, поэтому она работает только в режиме агрессивной блокировки трекеров. Однако, поскольку наша цель — бескомпромиссная защита приватности для всей аудитории, мы работаем над соединением дебаунсера и эфемерных хранилищ, чтобы включить такой механизм по умолчанию.
Brave определяет, является ли адрес переадресующим трекером, точно так же, как великолепный проект uBlock Origin, и применяет подход, который в uBlock называется «строгим блокированием». В общих чертах, предупреждающая страница будет показана, если выполняются все три условия:
Пользователь выставил щиты как «реклама и трекеры блокируются (агрессивно)»;
Навигационный запрос верхнего уровня был бы заблокирован правилом фильтрационного списка (например, EasyList, EasyPrivacy и uBlock Origin);
Не существует специального исключения для этого адреса.
Продление жизни эфемерных хранилищ
Ранее мы анонсировали новую форму разделения localStorage под названием «сторонние эфемерные хранилища», которая предотвращает межсайтовый и межсессионный трекинг, не нарушая работу сайтов. Мы улучшили эту функциональность без потери качества, позволяя лучше работать сайтам, которые рассчитывают на длительную жизнь сторонних хранилищ. Основной сценарий — это починка систем однократного входа (single sign-on), которые часто ломались об первоначальную версию наших эфемерных стораджей.
Ранее наш браузер удалял все сторонние хранилища для сайта сразу после закрытия последнего открытого документа верхнего уровня. Это хорошая оборона, так как состояние следящих скриптов сбрасывается между заходами на сайты, что, собственно, не позволяет им вести слежку. Кроме того, это полезная мера защиты для сайтов, на которых у вас несколько учёток, так как сторонние скрипты перестают идентифицировать пользователя как владельца разных аккаунтов.
Огорчительно, но эфемерные сторонние хранилища нередко ломали SSO по причинам, описанным здесь. Теперь Brave предотвращает поломки подобного рода, так как в течение короткого времени браузер будет держать данные разделённых сторонних хранилищ (в настоящий момент эта задержка составляет 30 секунд).
Мы экспериментируем с этим 30-секундным окном, чтобы найти оптимальное время, но к настоящему моменту тридцать секунд выглядит оптимальным значением, которое позволяет важным сценариям работать, а следящим скриптам не позволяет ничего.
Дополнительные меры по защите от фингерпринтинга
Кроме того, мы выпустили дополнительные меры защиты от фингерпринтинга, чтобы всегда оставаться на шаг впереди трекеров. Вот некоторые из них:
Браузер ориентирован на конфиденциальность, блокирует рекламу и межсайтовые трекеры, тем самым ускоряя в разы серфинг в интернете. Brave бесплатный браузер и работает с популярными расширениями Google Chrome.
Brave создан Бренданом Эйхом, разработчиком, создавшим javascript, язык, который лежит в основе большей части интернета.
Другие браузеры утверждают, что имеют «приватный режим», но это только скрывает вашу историю от других, использующих ваш браузер. Brave позволяет использовать Tor прямо на вкладке. Tor не только скрывает вашу историю, но и маскирует ваше местоположение с посещаемых вами сайтов, направляя ваш просмотр через несколько серверов, прежде чем он достигнет пункта назначения. Эти соединения зашифрованы для повышения анонимности.
Блокирует рекламу и скрипты
Доступен режим Tor
Поддержка расширений Chrome
Экономит трафик и заряд устройства
Сравнение производительности Brave с другими браузерами.
На рабочем столе Brave загружает страницы в два раза быстрее, чем Chrome и Firefox. На смартфоне приложение Brave загружает страницы в восемь раз быстрее, чем Chrome (Android) или Safari (iOS).
Устраняя рекламные трекеры, Brave блокирует усилия рекламодателей сначала идентифицировать пользователей, а затем следить за этими пользователями. Это делает пользователей более анонимными.
Brave платит за просмотр рекламы.
Если вы решите посмотреть рекламу, вы получите деньги. Функция под названием Brave Ads позволяет вам подписаться на просмотр рекламы. Эти объявления сопоставляются с использованием информации, которая остается в вашем браузере.
В отличие от Chrome, Brave не хранит вашу информацию в какой-либо базе данных. Вы держите информацию при себе. Когда объявление появляется на просматриваемой странице, вы получаете 70 процентов дохода от рекламы на этой странице. Платеж поступает в цифровой валюте под названием BAT или Basic Attention Tokens.
Brave признает, что ваше внимание имеет ценность. Если вы готовы потратить несколько минут на просмотр веб-страницы и на рекламу на этой веб-странице, вы отдаете что-то ценное, и вы должны получить что-то ценное взамен.
Вы можете обменивать на биржах заработанные BAT на фиатную валюту, но вы также можете использовать ее для спонсирование интересных проектов и сайтов. Более 340 000 создателей уже зарегистрировались, включая такие СМИ, как Washington Post, WikiHow и Vice.
Установка нового браузера не заканчивается его запуском. При первом старте браузеры проходят фазу донастройки — что-то докачивают, конфигурируют и, конечно, рапортуют. Если посмотреть на соответствующие сетевые запросы, можно многое узнать о браузере – в частности, какой информацией о пользователе и устройстве он поделится с неустановленной группой лиц.
В этой статье мы оценивали поведение пяти браузеров: Brave, Chrome, Firefox, Edge и Opera. Все исследования проводились на десктопе под управлением Windows 10 (версия 20H2, билд 19042.804) с подтвержденной учёткой Microsoft.
TLDR: меньше всего запросов делает Brave
В 2020 году профессор Дуглас Лейт из Тринити-колледжа (Дублинский университет) провел исследование браузеров и разделил их по тому, насколько успешно они хранят конфиденциальность пользователя. В первую группу вошел Brave как самый приватный браузер, во вторую — Chrome, Firefox и Safari, в третью — Edge и Yandex, которые защищали данные пользователя хуже всего. В нашем исследовании не участвовали Safari и Yandex, а в исследовании профессора Лейта – Opera, но в целом мы получили похожие результаты.
У Brave сетевых запросов меньше всего, также меньше всего хостов, к которым он обращался. Все соединения были с бэкендами Brave. Множество запросов отправил Firefox, хотя большинство из них были связаны с безопасностью. Запросы отправлялись на узлы Mozilla. Edge был наиболее активен в отношении рекламы, он начинал собирать соответствующие данные раньше всего. Кроме того, браузер от Microsoft блестяще продемонстрировал, как много информации о пользователе можно получить через учетную запись Windows.
Методология
Перед каждым анализом мы зачищали папки %appdata% и %localappdata% в Windows, т. е. информацию, относящуюся к профилю пользователя. Все браузеры были обновлены до последней версии. Чтобы отслеживать запросы, мы использовали программу Telerik Fiddler версии 5.0.20204.45441. Она мониторила запросы в течение 10 минут с момента первого запуска каждого браузера.
В течение первых пяти минут пользователь ничего не делал в браузере, а затем открывал новую вкладку. Любые запросы — на сбор каких-либо данных, синхронизацию или персонализацию — отклонялись. После открытия новой вкладки пользователь ничего не делал в течение еще четырех минут. На девятой минуте в адресной строке печаталось слово «brave» (как пример потенциального поискового запроса), а затем удалялось посимвольно. Потом пользователь вставлял в адресную строку слово «password» целиком и таким же образом это слово удалял. Это делалось для того, чтобы отследить, передает ли браузер данные пользователя, включая случайно вставленную информацию, каким-либо удаленным службам.
После десятиминутной первичной сессии пользователь закрывал браузер, а потом спустя некоторое время открывал его снова на две минуты. Повторный запуск был нам нужен для того, чтобы сравнить, как ведет себя браузер в первый и последующие разы, и выявить возможную разницу.
Подробные результаты по каждому браузеру
Brave версии 1.21.73
Запросы Brave распределились по следующим категориям.
Скачивание «вариаций» браузера. Это анонимные A/B-тесты, которые Brave проводит для улучшения своей работы.
Скачивание Sponsored Images для региона пользователя — это рекламные NTP. Пользовательские данные при этом никуда не передаются.
Анонимная телеметрия и отчетность — браузер отправляет дату установки, платформу, и несколько P3A-метрик.
После первоначальной настройки Brave также обновил некоторые компоненты.
При повторном запуске было сделано 24 запроса, они касались обновлений компонентов браузера, заголовков, A/B-тестов и списков Safebrowsing.
Chrome версии 89.0.4389.72
Одним из первых запросов Chrome была попытка ассоциировать пользователя и существующий аккаунт Google. Затем браузер запросил возможные вариации — Chrome также тестирует новые функции таким образом.
Далее браузер обновил компоненты и скачал набор расширений — например, ярлыки Google Docs, Google Drive и YouTube. Запросил списки Safebrowsing и загрузил список проверенных плагинов.
Всего Chrome сделал 91 сетевой запрос к 5 доменам верхнего уровня. Все домены принадлежали Google. Хотя попытка ассоциировать пользователя и Google-аккаунт была, никакой персональной информации в итоге Chrome не передал. Как и Brave, Chrome собирал общую информацию об устройстве, с которого пользователь зашел в браузер.
Firefox версии 86
Затем Firefox установил WebSocket-соединение с сервером автопушей. Это соединение веб-приложения используют, чтобы иметь возможность отправлять пользователям уведомления, даже если они в данный момент не работают в браузере. Во время соединения сервер отправил браузеру идентификатор регистрации нового пользователя пушей Push User Agent Registration ID (UAID).
При запуске в Firefox было открыто две вкладки: одна — обычная новая вкладка, вторая — «Уведомление о конфиденциальности для веб-браузера Firefox». Поскольку для второй нужно было подключение к интернету, отправлялись дополнительные запросы. Их было 22.
Всего Firefox отправил 2799 запросов к восьми доменам верхнего уровня. Большинство доменов принадлежали или поддерживались Mozilla. В конце первой сессии браузер сделал запрос к терминалу классификации клиентов, позже такой запрос был замечен повторно.
Что касается телеметрии, диагностические данные обычно содержали информацию о событии, браузере, а также идентификаторы клиента и сессии в браузере. Кроме того, несколько запросов были отправлены через отдельный процесс pingsender.exe. Этот процесс отправлял запросы и после того, как пользователь закрыл браузер, причем информации пересылалось довольно много: идентификатор клиента, данные об устройстве, о браузере, включая список дополнений, плагинов и даже данные о внешнем оформлении браузера, о тестах, в которых был задействован браузер, о количестве мониторов, об установленном антивирусном ПО и так далее. Интересно, что мы нашли ключ, который, судя по названию, должен был отвечать за передачу телеметрических данных: environment.settings.telemetryEnabled. В нем было выставлено false, но по факту данные пересылались, и в огромном объеме.
Последний запрос перед закрытием включал в себя множество разнообразных метрик. Хотя большинство из них к персональным данным отношения не имело, все же мы почувствовали себя неуютно, настолько подробной была телеметрия.
После ввода или вставки символов (не менее двух) Firefox отправлял запросы с этими символами в Google. Отметим здесь, что профессор Лейт не обнаружил подобных запросов, но он вставлял в адресную строку URL – возможно, Firefox отправляет данные в поиск, только если они не представляют собой URL.
Edge версии 88.0.705.81
Первым делом Edge попытался идентифицировать пользователя. Надо сказать, что возможностей для этого у браузера от Microsoft куда больше, чем у прочих, и пользуется он ими весьма агрессивно, получая данные из аккаунта Windows. Конечно, как и другие браузеры, Edge запрашивал списки безопасных плагинов и потенциально вредоносных URL, но это была лишь часть запросов. Еще часть была связана с рекламой и трекерами — таких запросов было намного больше, чем у других браузеров, также больше было и запросов к посторонним бэкендам.
Всего Edge отправил 367 запросов к 13 доменам верхнего уровня. Большинство доменов принадлежало Microsoft. В этих запросах присутствовала и потенциально конфиденциальная информация, причем защищена она была слабо.
Интересно, что Edge был единственным из браузеров, который отправлял специальные запросы, связанные с редиректами и онлайн-рекламой по технологии real-time bidding. Также Edge транслировал информацию ScorecardResearch, сервису, который специализируется на сборе данных о поведении пользователей в интернете. Этот сервис есть во многих блок-листах.
Забавно, что одним из первых запросов был запрос на демонстрацию рекламы со словами «Сделан с учетом защиты вашей конфиденциальности». В самом запросе при этом было достаточно много информации о пользователе.
При повторном запуске Edge сделал еще 70 запросов, аналогичных тем, что были отправлены до этого.
Opera версии 88.0.4324.182
Символы при вводе или вставки Opera сразу транслировал в Google для поиска в реальном времени. В этих запросах содержался идентификатор, сообщавший Google, что поиск идет с Opera.
При повторном запуске Opera сделал всего 16 запросов – для обновления расширений, загрузки набора идентификаторов функций, а также получения свежей информации о курсе валюты и криптовалюты.
Команда Brave сообщила, что встроила криптовалютный кошелек в браузер. Brave Wallet позволяет пользователям хранить, управлять, расширять и обменивать свой крипто-портфель.
При этом работа кошелька не требует расширений; он встроен в браузер, что снижает риски безопасности и не требует дополнительных ресурсов ЦП и памяти.
В Brave пообещали, что пользователи могут совершать транзакции практически с любыми криптоактивами, а также подключаться к другим кошелькам и DApps Web3.
Пользователи Brave также смогут продолжать использовать другие кошельки, в том числе MetaMask или первую версию кошелька Brave под названием Crypto Wallets.
С помощью Brave Wallet они смогут:
смотреть графики курсов с данными CoinGecko;
найти лучшую опцию обмена;
отправлять и получать активы;
пользоваться функцией Fiat-to-Crypto компании Wyre;
взаимодействовать с DApps для любой сети, совместимой с EVM;
управлять портфелем с помощью NFT;
импортировать свой кошелек из MetaMask, устаревшего расширения Crypto Wallets от Brave, или аппаратных кошельков, таких как Trezor и Ledger;
отправлять и получать NFT.
Брайан Бонди, технический директор и соучредитель Brave, говорит, что наличие встроенного прямо в браузер кошелька «устраняет ключевые проблемы с производительностью и безопасностью, сохраняя при этом основные функции».
Кошелек Brave Wallet поддерживает все цепочки, совместимые с EVM (Polygon, xDai, Avalanche и т. Д.), и L2, и построен с открытой лицензией MPL, что позволяет разработчикам легко вносить изменения.
Использование кошелька Brave будет бесплатным; пользователям просто нужно загрузить браузер или обновить его до версии 1.32. Чтобы начать работу с Brave Wallet, нужно открыть браузер и щелкнуть значок кошелька в адресной строке. Пользователи также могут посетить brave: // wallet, или нажать «кошелек» в главном меню браузера, или перейти на страницу настроек (brave: // settings /) и щелкнуть вкладку Wallet.
В 2022 году Brave Wallet будет интегрирован с блокчейном Solana, в результате чего Solana будет использоваться по умолчанию для поддержки DApp.
Ранее генеральный директор Apple Тим Кук заявил, что компания рассматривает интеграцию криптовалюты в Apple Pay. Однако, по его словам, в ближайшее время пользователи не смогут покупать, продавать или управлять такими активами на платформе Apple.
Читайте также: