Если тебе кажется, что за тобой следят, возможно, тебе не кажется. Сайты, которые мы посещаем, собирают большой объем информации о конфигурации нашего компьютера, мобильного телефона или планшета, а также об используемом программном обеспечении. Интернет‑ресурсы не только устанавливают файлы cookies, но и могут определить твою геолокацию, IP-адрес, название провайдера, версию и языковые настройки операционной системы, браузера, локальное время, тип и скорость подключения к интернету. А также узнать, какие протоколы поддерживает браузер, какие плагины в нем используются, включен ли JavaScript, имеет ли устройство встроенную камеру, гироскоп, и собрать множество других сведений.
На основе всей этой информации можно составить уникальный идентификатор каждого работающего в интернете устройства — browser fingerprint. Даже поменяв одну или несколько настроек в системе, невозможно изменить сам идентификатор, поскольку он использует сразу множество параметров. Тебя все равно узнают, если захотят.
Кроме того, движки разных браузеров немного по‑разному отображают шрифты и отдельные глифы Unicode. Сравнивая заполненные текстом HTML-элементы на просматриваемых в браузере веб‑страницах и формы букв по умолчанию в словаре известных гарнитур, можно составить шрифтовые отпечатки, font fingerprint. Эти отпечатки помогают сайтам опознать любой браузер, и твой — тоже!
Чаще всего такую идентификацию используют, чтобы показывать рекламу. Звучит довольно безобидно, но, как говорится, есть нюансы. Так, в 2014 году исследователь Александр Коган по заказу компании Cambridge Analytica разработал приложение под названием This is Your Digital Life для опроса пользователей Facebook. Несмотря на то что в опросе приняло участие незначительное число пользователей, приложение смогло получить доступ не только к профайлам участников, но и к страницам всех, кто присутствовал в списке их друзей. Таким образом были собраны данные примерно о 80 миллионах американцев — включая сведения об их геолокации, родном городе, дате рождения, лайках постов, интересах, онлайн‑активности, предпочтениях, родственных связях. Разумеется, без ведома и согласия пользователей.
В наши дни, когда даже неосторожный лайк чужого поста может иметь самые неприятные последствия, делиться с окружающим миром таким объемом данных — неоправданный риск. Следовательно, нужно использовать специальные браузеры, ориентированные на повышенную конфиденциальность и безопасность. Одним из самых безопасных и защищенных считается Tor Browser. Но эта программа предназначена не столько для защиты конфиденциальности пользователя в интернете, сколько для просмотра содержимого Даркнета и для серфинга в onion-сети. Поэтому его мы как раз подробно изучать не будем.
Существует несколько альтернативных браузеров, созданных для защиты конфиденциальности и анонимности в интернете. Давай рассмотрим самые известные из них и сравним их возможности. Для оценки информации, которой эти браузеры делятся с окружающим миром, мы будем использовать сайт BrowserLeaks. Для просмотра трафика — бесплатную программу Portmaster, которая позволяет наглядно отслеживать соединения конкретных приложений. Браузеры мы будем запускать в конфигурации по умолчанию, не меняя никаких настроек.
Brave
- Сайт: brave.com
- Движок: Chromium
- Исходный код: открытый
- Первый выпуск: 2019 год
- Версии: Windows, Linux, Android, iOS и macOS (в том числе, ARM-based)
Браузер Brave базируется на Chromium и обладает открытым исходным кодом. С точки зрения безопасности это можно отнести к достоинствам, поскольку любой человек, владеющий языками программирования, может изучить код программы и убедиться, что закладок и других потенциально опасных функций тут нет.
В качестве базового движка в Brave используется Blink, в качестве движка JavaScript — V8, а в версии для iOS применяется WebKit от Apple. Этот браузер разрабатывает американская компания Brave Software, Inc. из Сан‑Франциско. Существуют версии для Windows, Linux, Android, iOS и macOS (в том числе ARM-based). Первая версия этого браузера появилась на свет относительно недавно — 13 ноября 2019 года. Разработчики утверждают, что даже с настройками по умолчанию Brave эффективно блокирует рекламу, предотвращает трекинг, а в режиме Safe Browsing не ведет журналы и не хранит IP-адрес.
При первом запуске Brave предлагает блокировать прием cookies, это повышает безопасность серфинга. Если нажать кнопку в правом верхнем углу окна и выбрать в меню пункт Settings, откроется экран настроек. Параметры приватности собраны на вкладке Sheilds.
Здесь можно отключить автодетектирование Accelerated Mobile Pages — страниц для ускоренной загрузки мобильного контента, защиту от fingerprinting и редирект, который не позволяет рекламным площадкам отслеживать браузер.
Ниже расположено меню, позволяющее выбрать степень обеспечения приватности для блокировки рекламы и трекеров: Standard (это значение по умолчанию), Agressive или Disabled. Тут же можно отключить все скрипты и включить блокировку cookies. Давай выберем режим Trackers & ads blocking — Agressive.
Если нажать Content Filtering, откроется список фильтров, с использованием которых Brave блокирует рекламу и трекеры. Чтобы просмотреть весь перечень, нажми Show full list. По умолчанию включено только десять фильтров, но их гораздо больше. Можно включить все, однако учти, что чем больше фильтров, тем больше контента будет блокироваться, в результате чего ты можешь не увидеть на сайтах что‑то полезное.
Обычно браузеры хранят информацию о том, в какие социальные сети ты залогинен, и отдают ее кому угодно по первому требованию. Чтобы выключить эту функцию, открой вкладку Social media blocking. По умолчанию там предлагается на выбор Google, Twitter, Facebook, а показ данных из LinkedIn почему‑то включен. Можно отключить его, если ты не хочешь, чтобы тебе писали HR из компаний Илона Маска.
На вкладке Search engine можно выбрать поисковую систему, которая будет использоваться в Brave по умолчанию. Google желает знать очень многое о пользователях, отслеживает их запросы, нажатия на ссылки и фиксирует перемещения по сайтам, где установлены рекламные скрипты Google Ads, поэтому в целях безопасности можно выбрать поисковик DuckDuckGo.
Сайт BrowserLeaks показывает, что по умолчанию в Brave включена поддержка JavaScript и WebGL (это один из интерфейсов JavaScript для отображения 3D-графики, который позволяет некоторым сайтам определять тип графического адаптера на твоем устройстве), поэтому браузер охотно передает текущие параметры операционной системы и оборудования, включая наличие микрофона и камеры. Также он позволяет снимать цифровые отпечатки c использованием Canvas API и font fingerprinting. Это небезопасно, но обычные браузеры оставляют в сети еще больше пользовательских данных.
При этом BrowserLeaks показывает, что в браузере работают контентные фильтры, блокирующие рекламу и трекинг: всего таких фильтров насчитывается десять (в основном используется uBlock). Это означает, что программа действительно мешает рекламным сетям собирать данные.
Тем не менее наш IP-адрес и местоположение сайт BrowserLeaks определил достаточно точно, а это небезопасно. Но на этот случай у Brave есть еще одна отличная фишка, которой нет у других приватных браузеров! Если щелкнуть на кнопке в правой части инструментальной панели браузера и выбрать в открывшемся меню пункт New Private Window with Tor, откроется новое окно браузера, соединение в котором будет установлено через Tor Network.
Если мы откроем в этом окне сайт BrowserLeaks, то увидим, что наш IP-адрес и геолокация изменились. Это позволяет скрывать реальное местоположение без использования VPN. Правда, BrowserLeaks сумел определить, что новый IP-адрес принадлежит выходной ноде сети Tor. Некоторые сайты блокируют доступ пользователям Tor-сети, это нужно учитывать.
В этом окне можно не только анонимно просматривать обычные сайты, но и обращаться к ресурсам Даркнета, расположенным в зоне .onion. Теперь нам не нужно два разных браузера — один для приватного просмотра обычных сайтов, а другой для серфинга по Даркнету. Достаточно одного Brave.
Посмотрим с помощью Portmaster, какие соединения инициирует браузер Brave. Он регулярно обращается к серверам обновлений brave.com, а также использует собственные DNS-серверы для обработки запросов, помимо DNS-серверов, указанных в настройках соединения. Никаких других подозрительных запросов браузер не отправляет. Также Portmaster показывает, что для навигации в сети Tor браузер Brave использует встроенный 32-битный движок Tor 0.4.7.13, который работает в том числе в 64-разрядной системе. Это актуальная версия, выпущенная в текущем месяце, то есть в этом движке устранены все известные уязвимости и этот движок обеспечивает достаточный уровень безопасности.
Таким образом, Brave может заменить сразу два браузера — обычный для приватного просмотра сайтов в интернете и Tor Browser для просмотра ресурсов в зоне .onion. По ощущениям браузер работает довольно быстро, хотя в режиме Private Window with Tor веб‑страницы открываются дольше из‑за перенаправления трафика через Tor Network.
Epic
- Сайт: epicbrowser.com
- Движок: Chromium
- Исходный код: закрытый
- Первый выпуск: 2013 год
- Версии: Windows, macOS, Android
Браузер, как и Brave, базируется на Chromium, но это коммерческий продукт с закрытым исходным кодом. Его разрабатывает с 2013 года компания Hidden Reflex из Индии. В Epic по умолчанию включена комплексная блокировка рекламы, он не сохраняет историю просмотра веб‑страниц. Также в нем предусмотрена защита от сбора отпечатков браузера и блокировка автозаполнения форм — данные, которые ты вводишь в поля форм на веб‑страницах, не сохраняются в браузере. Кроме того, в настройках Epic можно включить прокси‑сервер, чтобы скрыть твое местоположение. Epic блокирует cookies и tracking, не позволяя сайтам отслеживать чувствительные параметры браузера и собирать данные для показа рекламы. Имеются версии браузера для Windows, macOS и Android.
Интересная особенность Epic в том, что он позволяет изменить настройки приватности для каждого отдельного сайта, и этих настроек очень много. Чтобы настроить приватность, открой сайт, нажми кнопку с зонтиком, а потом надпись View site settings.
Мы можем заблокировать для сайта, открытого в данный момент в окне браузера, геолокацию, запретить ему определять, имеется ли на нашем компьютере камера, микрофон, сенсоры. Можно включить или отключить для этого сайта JavaScript, загрузку картинок, блокировку рекламы. Это очень удобно, если при работе в интернете нам нужен JavaScript или антитрекинг мешает авторизации, но на каких‑то сайтах мы хотим его оставить.
Давай включим в Epic режим Encrypted Proxy, зайдем на сайт BrowserLeaks и посмотрим, что получилось.
Отлично, у нас изменился IP-адрес и BrowserLeaks не смог корректно определить нашу геопозицию. Теперь мы в городе Ашберн, округ Лаудон, штат Виргиния. Можно посетить Ashburn Park. Интересно, там разрешают кормить белок?
Чтобы изменить глобальные настройки Epic, нажми кнопку в правой части инструментальной панели и выбери Settings. Все настройки здесь такие же, как в обычном Chrome, и находятся на привычных местах. Например, тут можно настроить прием файлов cookies, очистить историю просмотра. В разделе Security and Privacy — выбрать данные, которыми браузер будет делиться с сайтами в интернете, а в разделе Site Settings — отключить геопозиционирование сразу для всех сайтов.
Теперь посмотрим с помощью Portmaster, какие соединения устанавливает браузер Epic.
Браузер активно общается со служебным доменом theepicbrowser.
с использованием технологии Safe Privacy Network. Если посмотреть на эти пакеты в Wireshark, то можно увидеть, что Epic регулярно «отстукивается» своим разработчикам, а передаваемые им через Safe Privacy Network данные зашифрованы. По всей видимости, Epic Browser передает в компанию Hidden Reflex некую телеметрию.
В Epic есть еще одна интересная функция, которую разработчики рекламируют при первом запуске программы, — Epic Video Downloader. Если ты — пират… ой, то есть любитель видео или музыки, с помощью этой функции можно скачивать ролики с сайтов прямо на твой компьютер. Попробуем сделать это и начнем, пожалуй, с YouTube. Я нашел отличное видео с железными тетками, посвященное игре Atomic Heart. Открываем Video Downloader, копируем URL... Epic Fail!
Окей, возможно, Google защищает свои видео. На всякий случай проверим настройки браузера: Proxy выключен, JavaScript включен. Попробуем сделать то же самое на Vimeo. Снова Epic Fail!
Безусловно, функция скачивания видео — очень полезная штука. Жалко, что она почему‑то не работает, по крайней мере на самых популярных видеохостингах. В целом можно сказать, что Epic Browser обеспечивает защиту от трекинга и рекламы, а Encrypted Proxy — полезный инструмент для повышения приватности, позволяющий скрыть реальный IP-адрес. Но если ты страдаешь паранойей, закрытый исходный код может преподнести сюрпризы.
Avast Secure Browser
- Сайт: avast.com/secure-browser
- Движок: Chromium
- Исходный код: закрытый
- Первый выпуск: 2016 год
- Версии: Windows, macOS, iOS, Android
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»