Когда люди ищут что-то в интернете, они хотят получить полезные, релевантные результаты, а не мусор, спам и белый шум. К несчастью, специалисты превратили «оптимизацию» по поиску, SEO, в настоящую науку и большой бизнес. Результат? Страницы выдачи поиска от гугла и его друзей забиты рекламой и автоматизированным контентом (SEO-спамом) от рекламщиков, которые пытаются обмануть поиск и поднять рейтинг своих сайтов в поисковой выдаче.
Это нас не устраивает. Для борьбы с подобными махинациями мы запускаем новый мощный инструмент поиска Brave, под названием Дискуссии.
Google выступает с предложением ввести новую технологию, “First-Party Sets” (First-Party множества, FPS), которая сделает границы конфиденциальности между сайтами более уязвимыми. Это опасно и вредно. Сеть медленно, спустя долгое время и после многих проблем, наконец подходит к идее «сайта» как границы конфиденциальности в Сети. Предложенная гуглом технология разрушит эту границу, уничтожив результаты работы в этом направлении браузеров, исследователей и активистов по защите конфиденциальности.
По сути, FPS позволит нескольким сайтам объявить себя одним сайтом, а браузер даст возможность этим сайтам обмениваться информацией между собой (естественно, трекая пользователей), как если бы они были одним и тем же сайтом.
Мы в Brave сильно обеспокоены планами Google по внедрению Privacy Sandbox. Регуляторы могут рассматривать Privacy Sandbox как независимый набор технологий, но это фундаментальная ошибка: Privacy Sandbox необходимо рассматривать вместе с другими предложениями от Google, и совершенно точно необходимо учитывать, насколько радикально зловредной Privacy Sandbox может оказаться на практике.
Google продвигает Privacy Sandbox как систему защиты конфиденциальности и открытости в сети. Мы же думаем, что в реальности Privacy Sandbox сильно навредит конфиденциальности и лишь укрепит контроль Google над сетью. Сегодня мы поговорим о проблемах Privacy Sandbox, которые не обсуждались ранее.
Мы внедряем новую технологию под названием De-AMP, которая позволяет пользователям Brave обходить AMP-страницы, которые хостит Google, и вместо этого напрямую посещать оригинальные сайты. AMP вредит конфиденциальности и безопасности пользователей, при этом расширяя монополию и контроль зловещей корпорации над сетью.
Brave защищает от вреда AMP несколькими способами. Там, где это возможно, De-AMP переписывает линки и урлы так, что пользователи вообще не попадут на AMP-сайты. В остальных случаях, Brave наблюдает за загрузкой сайтов и перенаправляет пользователей с AMP-страниц до стадии рендеринга, предотвращая загрузку и исполнение кода AMP/Google.
Мы внедряем новый мощный элемент защиты конфиденциальности пользователей — несвязываемую переадресацию. Она защищает вас при переходе по ссылкам через сайт-трекер, создавая для трекера отдельные временные хранилища. Это не позволяет трекеру идентифицировать вас, провязав этот визит с предыдущими. По сути, каждое посещение становится уникальным первым посещением сайта, что анонимизирует вас.
В статье — подробности и описание всего комплекса обороны от переадресующего трекинга.
С самых первых релизов Brave блокировал все сторонние хранилища (куки, localStorage, indexedDB). Такая блокировка защищает наших пользователей от самых распространённых форм трекинга, но может ломать сайты. Сегодня мы поговорим об «эфемерных хранилищах», нашей стратегии работы со сторонними хранилищами в Brave, которая улучшает веб-совместимость, сохраняя при этом этот же уровень защиты конфиденциальности пользовательских данных.
Мы добавили секционирование сетевого состояния в браузер и тем самым ещё сильнее улучшили его защитные свойства. Сетевое состояние - это набор разного рода кэшей (фавиконок, шрифтов, id сессий HTTPS), каждый из которых исторически существуют в одном экземпляре на весь браузер, и таким образом сайты могут использовать эти общие хранилища для реализации "суперкук" в том или ином виде. Настал час выдать каждому сайту свой кэш для улучшения изоляции страниц друг от друга — подробности в статье.
Недавно Google анонсировал Topics API, новейший вариант более раннего FLoC API, о котором мы уже писали. В гугле утверждают, что новый API разобрался с серьёзными проблемами конфиденциальности FLoC, но это не так. Topics API исправляет лишь самые незначительные проблемы конфиденциальности во FLoC и никак не меняет его сути. Проблема в том, что Google и не намерен прекращать делиться информацией об интересах и поведении людей с трекерами, рекламодателями и подобным не уважающим конфиденциальность сбродом. Мы же утверждаем: у них нет никакого права узнавать о вас подобную конфиденциальную информацию.
Мы продолжаем нашу непримиримую борьбу со злостными нарушителями конфиденциальности пользователей. Наш браузер и на ПК, и на Андроиде теперь включает в себя следующие меры защиты:
Мы обнаружили, описали и сделали POC для нового типа уязвимости, в той или иной форме присутствующего во всех браузерах, включая TOR браузер. Такой тип атак использует пулы ограниченных общих ресурсов для проведения side-channel атак. Трекеры могут использовать такие каналы для межсайтовой слежки за пользователями и обхода других мер защиты приватности в браузерах.
Многим совершенно безосновательно кажется, что использование правильного блокировщика рекламы раз и навсегда предотвращает попадание следящих и рекламных скриптов в защищаемый браузер. На самом же деле, в списках блокировщиков содержатся тысячи исключений — записей, допускающих некоторые скрипты на некоторые сайты в целях совместимости. Особенно популярны в них аналитические системы от крупных корпораций Добра.
Мы сделали механизм, который позволит всем совместимым блокировщикам избавиться от этого постыдного компромисса и начинаем его внедрять в наш браузер Brave. Подробности в статье.
На Хабре есть множество (раз, два, три, четыре) статей про идентификацию и слежку за пользователями при помощи снятия браузерных «отпечатков», но почти ничего про современные методы превозмогания этих коварных атак на нашу приватность в сети. Восполним этот пробел путём описания способа защиты, который реализован в единственном браузере на рынке.
Мы запустили Brave Wallet, криптокошелёк, встроенный в десктопную версию нашего браузера, который позволяет пользователям Brave хранить, управлять, накапливать и обменивать свой криптопортфель. В отличие от других криптокошельков, наш не требует установки расширений: он встроен в браузер, что увеличивает безопасность и уменьшает нагрузку на железо. Пользователи могут совершить транзакции практически с любой криптой, не теряя в безопасности и производительности, а также подключать другие кошельки и приложения веб 3.0. Вскоре кошелёк Brave станет доступен и в наших мобильных приложениях.
Три человека из четырёх считают рекламу, защищающую конфиденциальность, и возможность контролировать количество рекламы, которую они видят в день, более привлекательными. В деньгах тоже есть существенный прирост. Простое ли это совпадение — расскажем в статье.
Переадресующий трекинг (он же bounce tracking) — это очередная нелепая уловка трекеров, с помощью которой они пытаются следить за пользователями по всей сети и небесплатно нарушать их священное право на конфиденциальность. Разберём наш механизм блокировки этого неприглядного явления.
Децентрализованные финансы (DeFi) напоминают финансовый Дикий Запад: новые сайты появляются и исчезают каждый день, люди зарабатывают и теряют огромные деньги, а гарантии безопасности и вообще какой бы то ни было осмысленный контроль за происходящим отсутствуют. Какую роль безопасность и конфиденциальность играют во всём этом? Разберёмся.
Начиная с версии 1.31.x, Brave включает поддержку кастомных списков фильтрации, что позволит пользователям более тщательно элеминировать следящие сетевые запросы, рекламу и назойливый контент. Теперь пользователи Брейв могут подписаться на любой список по своему усмотрению, включая списки из этого отличного набора, поддерживаемого различными сообществами, разработчиками и воинами конфиденциальности. Наша цель — лучшие в своём классе инструменты фильтрации контента, сохраняющие контроль над веб-сёрфингом в руках пользователей.
Чтобы оставаться на шаг впереди от следящих скриптов, мы регулярно выпускаем новые функции и улучшения, связанные с приватностью. Расскажем о четырёх недавних изменениях в конфиденциальности и web-совместимости: время жизни пермиссий, дебаунсер и кое-что ещё.
Запускаем публичную бету нашего независимого от адтех-гигантов поиска https://search.brave.com/, который предоставляет не имеющую аналогов анонимность.
Одна из главных целей Brave — повышение накала приватности в интернете. Мы не только строим механизмы защиты приватности в нашем браузере и других продуктах, но и двигаем вперёд открытые стандарты консорциума W3C, по которым работает весь Интернет. Рассказываем о стандарте конфиденциальности Global Privacy Control (GPC) и как он реализован в Brave.