Categories
程式開發

瀏覽器隱私安全排名:Brave得分最高、微軟Edge最低


在最近發布的一項研究報告中,微軟的Edge在隱私評級中獲得了最低分,該研究主要是對市場上主流的瀏覽器收集用戶信息的行為進行了比較。俄羅斯網絡搜索供應商Yandex開發的瀏覽器Yandex在隱私方面得分略好於Edge。排名最高的瀏覽器是Brave,它把保護用戶隱私放在了最重要的位置上。

都柏林Trinity學院的計算機科學家 Doug Leith在一篇研究論文中公佈了這一排名。他分析並評估了谷歌Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和Yandex提供的隱私功能。

Leith的具體做法是,研究瀏覽器發送出去的數據,包括唯一標識符和URL攜帶的相關詳細信息,通過這些信息瀏覽器可以對用戶進行追踪。

根據研究結果Leith將這些瀏覽器歸為了三類,最好的第一類是Brave,中等的第二類是Chrome、Firefox和Safari,最差的第三類是Edge和Yandex。

Leith在論文中寫道:

從隱私保護的角度來看,微軟的Edge和Yandex與其他被研究的瀏覽器在本質上是不同的。兩者都上傳可用於將請求(以及相關的IP地址/位置)鏈接到後端服務器的永久標識符。 Edge還會將設備的硬件UUID發送給Microsoft,Yandex做法也類似,它會將一個哈希硬件標識符傳輸到後端服務器。據我所知,用戶是無法禁止這種行為的。除了搜索自動填充功能需要用到所訪問網頁的詳細信息外,兩者都會將網頁信息上傳到與該功能不相關的服務器上。

強大且刪除不掉的標識符

研究發現,Edge和Yandex都會上傳與設備硬件綁定的標識符。這些特殊的字符串還可以鏈接到同一設備上運行的各種應用程序,即使在瀏覽器重新安裝之後仍然還在。 Edge將設備的通用唯一標識符上傳到位於self.events.data.microsoft.com的Microsoft服務器上。這個標識符很難更改或刪除。

研究人員表示,Edge的自動補全功會將訪問網站的詳細信息發送到後端服務器,但用戶無法禁用該功能。不過,Ars的讀者karinto評論中對這個問題進行了指正,他說可以禁用該功能,並給出了方法

Yandex通過自動補全功能收集硬件MAC地址的哈希加密值和訪問網站的詳細信息,這些在Yandex上倒是可以禁用的。通過Edge和Yandex收集的瀏覽器所在硬件的標識符,這些歷史數據在重新安裝瀏覽器後仍然可以繼續保存,也同樣可以用來與設備上其它各應用程序建立聯繫。這些標識符還會被用來對用戶IP地址進行持續性的追踪。

該研究報告指出,“將設備的標識符傳到後台服務器是很危險的事情,因為它是用戶設備持久性的強標識,Edge根據需要可以對這一數據信息進行加工處理,甚至給其它應用程序使用(允許在同一生產商的應用程序間共享數據),用戶還不能輕易的做出更改。”

微軟的一名代表在不具名的情況下做了尚沒有驗證的回复,不過她並沒有給出Edge這樣做的理由。她解釋說,在使用前Edge會徵求收集用戶行為數據的許可,這樣做是為了改進優化產品。而且這個功能也是可以關閉的。雖然這些數據“可能”包含了被訪問網站的信息,但它並沒有存儲在用戶的微軟賬戶中。

瀏覽器同步

當用戶登錄到Edge後,他們可以同步自己的瀏覽器歷史記錄,以便在其他設備上使用。用戶可以在privacy.microsoft.com的隱私功能設置上查看和刪除此歷史記錄。微軟smartscreen是Windows 10上的一項防護功能,可以防止網絡釣魚和惡意軟件網站,並且通過檢查用戶訪問的URL,幫助用戶檢測是否在下載潛在的惡意文件。用戶可以通過Edge的隱私和服務設置禁用這些默認功能。

利用唯一標識符,可以幫助Edge用戶只通過一步操作就能刪除存儲在Microsoft服務器上的相關診斷數據。

對於處在第一類裡的Brave,研究發現,Brave的默認設置中提供了很多隱私權限,不過它沒有允許跟踪IP地址的標識符集合,也沒有允許與後端服務器共享訪問過的網頁的詳細信息。

第二陣營的瀏覽器

Chrome、Firefox和Safari是屬於中間陣營的。在輸入URL時,這三種瀏覽器的自動補全功能都能實時傳輸已訪問站點的詳細信息。但是,可以禁用這些默認設置。其他可能侵犯用戶隱私的行為還有:

  • Chrome:上傳一個持久化的標識符和網站地址,並將這兩個信息進行關聯。
  • Firefox:在遙測傳輸中包含可隨時間鏈接這些內容的標識符(遙測功能默認打開,但可以禁用)。 Firefox還為推送通知打開了一個永久的websocket。研究人員表示,websocket與一個唯一的標識符鏈接,可以用來追踪設備且不容易被禁用。
  • Safari:默認情況下,啟動頁面會將信息洩露給“多個第三方”,這些第三方可以將包含標識符的頁面預加載到瀏覽器緩存中。更重要的是,相關的iCloud進程還建立了包含標識符的連接。

蘋果官員拒絕對該報告置評,但同時指出,Safari在默認情況下提供了對第三方cookie屏蔽的功能,還有一項名為智能跟踪防護(Intelligent Tracking Prevention)的功能,這兩項功能對第三方網站都限制了獲取用戶信息的能力。

Mozilla官員在一份聲明中寫道:

只有當用戶打開同步服務時,瀏覽歷史才會被上傳到Mozilla,同步服務的目的是為了在用戶的設備之間共享數據。與其他瀏覽器不同的是,同步數據是端到端加密的,因此Mozilla也無法訪問它。
Firefox確實收集了一些關於用戶如何與我們的產品交互的技術數據,但這並不包括用戶的瀏覽歷史。此數據與隨機生成的唯一標識符一起上傳到服務器。 IP地址將被保留一段時間,用於安全和欺詐檢測,之後便會被刪除。它們從遙測數據中分離出來,不用於關聯不同瀏覽會話的用戶活動。
正如研究報告本身所指出的,“將用戶數據傳輸到後端服務器本質上並不是一種隱私侵犯。“通過限定收集和數據保存,並對用戶與我們共享的數據進行加密和匿名保護,Firefox致力於保護人們的隱私,並提供安全的瀏覽體驗。 ”透明公開的流程和實踐證實了我們把用戶需求放在首位的承諾。

谷歌官方目前還沒有對研究結果做出回應。如果稍後有回應,我們會及時更新。我們研究分析的瀏覽器分別是Chrome版本80.0.3987.87、Firefox 73.0、Brave 1.3.115、Safari 13.0.3、Edge 80.0.361.48、Yandex 20.2.0.1145。

正如蘋果公司之前的評論所說的那樣,這項研究對瀏覽器安全的判定相對狹隘,因為它沒有考慮對第三方追踪進行阻止的一面。儘管如此,這篇論文還是很好地說明了為什麼Chrome、Firefox和Safari的用戶使用Edge時,即便禁用了網站的自動填充功能,但從來沒有效果。微軟的上述回應也提供了防止其他一些數據上傳的方法。雖然該瀏覽器為了抵禦攻擊提供了增強的安全措施,但假如你更在意隱私保護的話,應該禁用它的默認設置,或者乾脆換個瀏覽器。

原文鏈接:
Study ranks the privacy of major browsers. Here are the findings