Исследователи из Тринити-колледжа в Дублине решили проверить шесть популярных настольных веб-браузеров Google Chrome, Mozilla Firefox, Microsoft Edge (на основе Chromium), Apple Safari, Brave и Yandex на предмет отправки данных пользователей.
Выяснилось, что Brave передает меньше всего данных, он не использует идентификаторы, которые позволяют отслеживать IP-адреса и не обменивается сведениями о веб-страницах с внутренними серверами.
Во второй группе оказались Chrome, Firefox и Safari. Они используют идентификаторы, которые связаны с экземпляром браузера, но сбрасываются при новой установке. Все три браузера делятся информацией о веб-страницах с внутренними серверами с помощью функции автозаполнения поиска в браузере. В целом, Chrome, Firefox и Safari можно настроить в сторону большей приватности, но это требует особых знаний от пользователя.
Microsoft Edge и Yandex отправляют идентификаторы, связанные с аппаратным обеспечением устройства. Это означает, что идентификатор сохраняется даже при переустановке браузера и может использоваться для связи различных приложений, работающих на одном устройстве. Оба они также отправляют информацию о веб-страницах на серверы, которые «не связаны с автозаполнением поиска».
Исследователь регистрировал все сетевые подключения на устройствах, на которых работал браузер. Соединения Chrome с использованием QUIC/UDP пришлось заблокировать, чтобы браузер переключился на TCP. Для проверки зашифрованных данных использовался mitmdump.
Браузеры запускались из новой установки/нового профиля пользователя, URL добавлялся в адресную строку, и записывалась активность пользователя. Затем браузер перезапускали. За активностью пользователя следили в течение 24 часов.
Выяснилось, к примеру, что Firefox включает идентификаторы в свои телеметрические передачи. Телеметрия может быть отключена, но снова по умолчанию включена без вывода уведомления. А выбор стартовой страницы по умолчанию в Safari дает утечку информации третьим сторонам и позволяет им устанавливать файлы cookie без согласия пользователя.
Edge отправляет аппаратный UUID устройства в Microsoft, а Yandex аналогичным образом передает хешированный идентификатор оборудования на внутренние серверы. Пользователи не могут изменить эти сценарии.
Кстати, ранее пользователи браузера Microsoft Edge столкнулись с ситуацией, когда при попытке установить на новом браузере от Microsoft расширения из сторонних источников, например, из магазина Chrome Web Store, их предупреждали, что это небезопасно, и им лучше сменить браузер на Google Chrome.
См. также: «Mozilla проиграла в войне браузеров, но всё ещё считает, что может спасти интернетSafari, между тем, откажется принимать новые долгосрочные сертификаты. При открытии сайтов, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, браузер будет выдавать ошибку конфиденциальности. С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен, но правило не затронет старые сертификаты.
