本文看點
▪都柏林三一學院計算機科學家道格·萊思發表的研究論文,分析並評估了Google Chrome、Mozilla Firefox、Apple Safari,Brave,Edge和Yandex提供的隱私性能。具體來說,該研究檢查了瀏覽器的數據發送,包括唯一識別碼和與鍵入URL相關的詳細信息,這些信息可用於長期跟蹤用戶。
▪
調查結果將瀏覽器分為三類,Brave獲得最高排名,而Microsoft Edge隱私權等級最低,Chrome、Firefox和Safari處於中間。
▪
Edge將設備的硬體通用唯一識別碼(UUID)發送給Microsoft,而且會同步歷史瀏覽記錄。Yandex也會相似地將硬體識別碼發送給後端伺服器。Brave的默認設置提供了最大的私密性,沒有識別碼集合,無法隨時跟蹤IP地址,也沒有共享後端伺服器訪問的網頁的詳細信息。處於中遊的Chrome、Firefox和Safari的默認設置都可以禁用。但是仍存在其他侵犯用戶隱私的行為。
原文來自ars Technica,作者Dan Goodin
最近發表的一項研究比較了主要瀏覽器收集的用戶信息,其中,Microsoft Edge隱私等級最低。Yandex是Russian Web網絡搜索供應商Yandex開發的一款瀏覽器,人氣不高,隱私保護方面與Edge平分秋色。相比之下,Brave瀏覽器將隱私放在首位,獲得最高排名,可謂黑馬。
此次排名來自都柏林三一學院計算機科學家道格·萊思發表的研究論文。他分析並評估了Google Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和Yandex的隱私性能。
具體來說,該研究檢查了瀏覽器的數據發送,包括唯一識別碼和與鍵入URL相關的詳細信息,這些信息可用於長期跟蹤用戶。調查結果將瀏覽器分為三類,其中Brave排名最高,Chrome、Firefox和Safari獲得中等排名,Edge和Yandex落後於其他瀏覽器。
萊思在論文中寫道:
“從隱私的角度來看,Microsoft Edge和Yandex與其他瀏覽器不同。兩者皆可發送可用於將請求(以及關聯的IP地址/位置)鏈接到後端伺服器的永久性識別碼。Edge還將硬體的通用唯一識別碼(UUID)發送給Microsoft,而Yandex也會相似地將硬體識別碼發送給後端伺服器。據我們所知,用戶無法禁用該行為。除了共享已訪問網頁詳細信息的自動完成搜索功能之外,這兩種傳輸方式都將網頁信息發送到與自動完成搜索無關的伺服器。”
強大而持久的識別碼
研究發現,Edge和Yandex都發送與設備硬體相關的識別碼。這些獨特的字元串可以鏈接在同一設備上運行的各種App,即使在全新安裝瀏覽器之後也可以保持相同。Edge將設備的UUID發送到位於self.events.data.microsoft.com上的Microsoft伺服器。
此識別碼不易更改或刪除。研究人員說,Edge瀏覽器的自動完成功能無法禁用,也就是無法禁止將自動鍵入站點的詳細信息發送到後端伺服器。
同時,Yandex通過自動完成功能收集了MAC硬體地址和訪問過的網站的詳細信息,儘管後者可以被禁用。Edge和Yandex會收集與運行瀏覽器的硬體連接的識別碼,因此該數據在新安裝的瀏覽器中會保留下來,並且還可用於鏈接同一設備上運行的各種App。這些識別碼隨後可用於長期跟蹤IP地址。
“將設備識別碼傳輸到後端伺服器顯然最令人擔憂,因為識別碼強大而持久,可以隨意重新生成,包括其他App(因此同一製造商的App之間的數據可以連接),並且用戶不能輕易更改或重置。”該研究文章警告說。
Microsoft的一位代表給出了答覆,但要求匿名,而且我們不得直接引用該回復。至於為何如此要求,我們不得而知。這位代表說,Edge要求獲得收集用於改進產品的診斷數據的許可。她說這類收集可以取消,儘管數據“可能”包含有關已訪問網站的信息,但不會儲存在用戶的Microsoft帳戶中。
瀏覽器同步
用戶登錄到Edge後可以同步其瀏覽器歷史記錄,以便在其他設備上使用。用戶可以在位於privacy.microsoft.com的隱私面板上查看和刪除歷史記錄。Microsoft的Defender SmartScreen是Windows 10系統的一項功能,可防止網絡釣魚和惡意軟體網站以及下載潛在的惡意文件,它通過檢查用戶打算訪問的URL來工作。可以通過Edge的隱私和服務設置禁用此默認功能。
唯一識別碼使Edge用戶可以單擊一下以刪除存儲在Microsoft伺服器上的關聯診斷數據。
與此相反的是排名最高的Brave。研究發現,Brave的默認設置提供了最大的私密性,沒有識別碼集合,無法隨時跟蹤IP地址,也沒有共享後端伺服器訪問的網頁的詳細信息。
中遊瀏覽器
Chrome、Firefox和Safari屬於中間類別。當鍵入URL時,這三種瀏覽器中的自動完成功能都會實時傳輸所訪問站點的詳細信息。但是,可以禁用這些默認設置。其他可能破壞隱私的行為包括:
Chrome:發送一個永久性識別碼以及網站地址,允許兩者互相鏈接。
Firefox:遙測傳輸中包含識別碼,這些識別碼可以隨著時間的推移產生鏈接(遙測功能默認啟用,但可以禁用)。Firefox還為推送通知打開了一個永久的websocket網絡傳輸協議。研究人員說,該協議可以鏈接到一個唯一的識別碼,並且有可能被用於不易被禁用的跟蹤。
Safari:默認為一個初始頁面,該頁面可以將信息洩露給“多個第三方”,後者可以將包含識別碼的頁面預加載到瀏覽器緩存中。而且,相關聯的iCloud進程建立了包含識別碼的連接。
Apple官方拒絕對此報告置評,但的確指出,Safari默認提供對第三方Cookie的阻止和名為“智能跟蹤阻止”的補充功能,這兩者都限制了第三方網站獲得有關用戶的信息。
Mozilla在一份官方聲明中寫道:
“瀏覽歷史記錄僅在用戶打開我們的Sync服務(其目的是在用戶設備之間共享數據)時才發送到Mozilla。與其他瀏覽器不同,同步數據是端到端加密的,因此Mozilla無法訪問它。
Firefox確實收集了一些有關用戶如何與我們的產品進行互動的技術數據,但這不包括用戶的瀏覽歷史記錄。該數據與隨機生成的唯一識別碼一起傳輸。用戶的IP地址會保留一小段時間,用於安全和欺詐檢測,然後刪除。它們都已從遙測數據中刪除,並且不用於在瀏覽會話中關聯用戶活動。
正如研究本身所指出的那樣,‘將用戶數據傳輸到後端伺服器本質上不是隱私入侵。’通過限制數據的收集和保留,以及通過加密和匿名的方式保護用戶與我們共享的數據,Firefox致力於保護用戶隱私並提供安全的瀏覽體驗。清晰、公開的做法和流程進一步證明,我們將用戶需求放在首位。”
Google代表尚未置評。該研究分析的瀏覽器版本是:Chrome 80.0.3987.87,Firefox 73.0,Brave 1.3.115,Safari 13.0.3,Edge 80.0.361.48和Yandex 20.2.0.1145。
正如Apple指出的那樣,該研究從狹窄的角度看待了瀏覽器的安全性,因為它沒有考慮阻止第三方跟蹤的功能。儘管如此,本文仍然很好地說明了為什麽用戶會使用Edge,而Chrome、Firefox和Safari的用戶可能希望禁用網站自動完成功能,但我從未覺得該設置有任何效果。Microsoft的上述回應也提供了阻止其他數據傳輸的方法。雖然瀏覽器增強的安全措施可以抵禦攻擊,但優先考慮隱私的用戶應考慮禁用默認行為或使用其他瀏覽器。
香港九龍灣馬來街興發大廈15樓D室