Комментарии 108
Кроме %appdata% и %localappdata% в системе, естественно, больше ничего нет! Уже на этом пункте дальнейшие результаты доверия не вызывают. Виртуальная машина и откат к одному и тому же снэпшоту — слишком просто, наверное…
Касательно Fiddler главный вопрос в следующем: а вы уверены, что браузер действительно «верил» подмененному сертификату, а не тихонечко прекращал сессию? В «методике» об установке подмененного сертификата в систему/браузер — ни слова. Если его не ставили, то результаты — погода на Марсе, а не реальная сетевая активность
Касательно Fiddler главный вопрос в следующем: а вы уверены, что браузер действительно «верил» подмененному сертификату, а не тихонечко прекращал сессию? В «методике» об установке подмененного сертификата в систему/браузер — ни слова. Если его не ставили, то результаты — погода на Марсе, а не реальная сетевая активность
Да, в целом можно было бы и усилить накал разоблачений. Здесь ориентиром была публикация 2020 года, упомянутая в тексте — там в целом такая же методика.
Если учесть больше нюансов, то число коннектов потенциально только увеличится. А ведь те коннекты, что есть, уже довольно показательны. Если с Эджем в принципе всё понятно, то сетевая активность Фаерфокса несколько удивляет, особенно деталь с telemetryEnabled.
Если учесть больше нюансов, то число коннектов потенциально только увеличится. А ведь те коннекты, что есть, уже довольно показательны. Если с Эджем в принципе всё понятно, то сетевая активность Фаерфокса несколько удивляет, особенно деталь с telemetryEnabled.
Та методика некорректна и не стоит на нее ориентироваться. Увеличение числа коннектов может изменить результаты не в вашу пользу уже по результатам нового исследования, а не по методике нынешнего. Делайте нормальные исследования, разбирайтесь с MitM и виртуальными машинами — тогда, может быть, вам будет вера
сетевая активность Фаерфокса несколько удивляет, особенно деталь с telemetryEnabled
в моем firefox 87 нет настройки environment.settings.telemetryEnabled, и гугл о ней нечего не знает. телеметрия отключается в настройках браузера. также есть настройка toolkit.telemetry.enabled. у меня сложилось впечатление, что при написании статьи была установка высосать как можно больше негатива из чего угодно.
для тех, кто в firefox хочет отключить отсылку других данных, есть статья в справке.
Хотя большинство из них к персональным данным отношения не имело, все же мы почувствовали себя неуютно, настолько подробной была телеметрия.
а я почувствовал себя неуютно сразу после запуска браузера brave. нет, я не смотрел сетевые запросы, причина проста: великие дизайнеры сего браузера считают, что DPI 96 в винде никто не ставит, поэтому в интерфейсе браузера весь текст выводится самопальным мыльным шрифтом, от которого кровь течет из глаз.
Читайте внимательно: это не настройка, а часть содержимого телеметрии, можно найти этот ключ здесь.
Если прочитать статью, то там также написано
Дизайнеры у нас не великие, а самые обычные, и их мало. Как раз прямо в это время они переделывают гайды, и в том числе пересматривают шрифты.
Если прочитать статью, то там также написано
Любые запросы — на сбор каких-либо данных, синхронизацию или персонализацию — отклонялись.Кроме этого никакие настройки не менялись, т.к. цель — изучить умолчательное поведение браузеров.
великие дизайнеры сего браузера считают, что DPI 96 в винде никто не ставит, поэтому в интерфейсе браузера весь текст выводится самопальным мыльным шрифтом, от которого кровь течет из глаз.
Дизайнеры у нас не великие, а самые обычные, и их мало. Как раз прямо в это время они переделывают гайды, и в том числе пересматривают шрифты.
Читайте внимательно: это не настройка, а часть содержимого телеметрии
из статьи совершенно не понятно, что это часть телеметрии
Кроме этого никакие настройки не менялись
про отключение я писал тем, кто будет статью читать. хотя отключение телеметрии — тоже интересная тема, не все браузеры позволяют это сделать.
Дизайнеры у нас не великие, а самые обычные, и их мало. Как раз прямо в это время они переделывают гайды, и в том числе пересматривают шрифты.
их мало, но они при это тратят время на фигню, пытаясь переделать шрифты операционной системы. ведь всем известно, что самое проблемное место windows — это ее шрифты.
К автору — Вы продвигаете свой браузер и всячески рекламируете его, пишите переведённые статьи на Русский язык, но почему у вас на сайте нет поддержки Русского языка?
И дело тут не в знании английского языка, а в том, что раз продвигаете свой продукт на Российский рынок, то может соответственно стоит и сайт седлать на Русском?
И дело тут не в знании английского языка, а в том, что раз продвигаете свой продукт на Российский рынок, то может соответственно стоит и сайт седлать на Русском?
" — Мы не слишком быстро говорим?
— Ничего, я только фамилии записываю."
— Ничего, я только фамилии записываю."
Как и в первый раз, Chrome попытался найти аккаунт пользователя через accounts.google.com/ListAccounts. Поскольку пользователь не был залогинен, браузеру не удалось ничего обнаружить.
и далее про Edge:
Уже при установке браузер нашел в системе изображение владельца и адрес электронной почты <…> Запрос на substrate.office.com вернул не только эти данные, но и дату рождения пользователя, его полное имя, местонахождение и пол
Откуда у substrate.office.com появились дата рождения и полное имя пользователя? Я правильно понимаю, что тестирование проводилось на компьютере, где был аккаунт Microsoft, но не было аккаунта Google? В таком случае не сильно удивительно, что браузер от Microsoft нашел аккаунт Microsoft, но браузер от Google не нашел аккаунта Google, разве нет?
Тестирование проводилось на компьютере, где была операционная система Microsoft :) Поэтому Edge может сам себя залогинить в сервисы Microsoft. Чистая же установка Chrome никак не может себя залогинить в гугл, скольким бы учетками пользователь не владел, для этого у браузера нет никаких оснований.
Это верно! Я, правда, давно последний раз винду устанавливал, но тогда там была возможность установить Windows, не указывая дату рождения. Сейчас такую возможность убрали?
В таком случае, возможно, стоит упомянуть бесплатные VM от Microsoft с 90-дневной лицензией: developer.microsoft.com/en-us/microsoft-edge/tools/vms — там уже заведен юзер и дату рождения вводить не надо :)
В таком случае, возможно, стоит упомянуть бесплатные VM от Microsoft с 90-дневной лицензией: developer.microsoft.com/en-us/microsoft-edge/tools/vms — там уже заведен юзер и дату рождения вводить не надо :)
НЛО прилетело и опубликовало эту надпись здесь
Да, думаю этот момент можно будет улучшить в следующей серии
В «операционной системе Microsoft» совершенно не обязательно иметь облачный аккаунт, он может быть и локальным. В этом случае браузер Edge тоже ничего ни откуда не возьмет.Около 2 лет назад при установке Windows 10 от облачного аккаунта можно было отказаться только в том случае, если перед этим вынуть витую пару и не подключаться по WiFi. И при этом нельзя пользоваться Windows Store (вынуждает авторизоваться через почту Microsoft).
У меня большие сомнения, что с того времени «контроль» ослабили.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Не достаточно, не вводите людей в заблуждение. На Home версии такого определенного пункта нет и интернет нужно отключать, чтобы эта опция появилась.
Можно и при меньшем количестве запросов отправить больше личных данных. Это не показатель!
Интереснее было бы узнать, какие именно данные отправляются. К тому же попахивает саморекламой.
Для себя я выбрал ugoogledchromium, доволен как слон
Интереснее было бы узнать, какие именно данные отправляются. К тому же попахивает саморекламой.
Для себя я выбрал ugoogledchromium, доволен как слон
Интереснее было бы узнать, какие именно данные отправляются
Вы полностью правы — в статье именно это и описывается. Разве что объём не позволяет вместить больше подробностей, они есть в оригинальной статье.
К тому же попахивает саморекламой
Только факты
Вы полностью правы — в статье именно это и описывается. Разве что объём не позволяет вместить больше подробностейГде именно ограничение на объём? Что мешает выпустить цикл статей с подробным анализом, где если необходимо, то на каждый браузер будет несколько статей?
Разве что нехватка времени! Тема весьма интересная — в частности, в исходниках Хромиума *все* сетевые запросы специальном образом аннотированы, и там их сотни штук. Например, при использовании Google Wallet, Хром весьма бесцеремонно снимает фингерпринт машины и отправляет его гуглу.
Если что, тоже голосую за статью об этом. Ещё, есть лично у меня отдельное пожелание (сугубо личный интерес): напишите о том, почему браузер brave выбрал для себя движок хромиум, а не фаирфокс. Я знаю о сложных отношениях Брэндона с Мозиллой, но хотел бы знать из достоверного источника: личная неприязнь Брэндона к Мозилле или есть технические особенности?
Сугубо технические причины — Хромиум как платформа значительно лучше подходит для разработки.
Полагаю, что главная техническая причина — отсутствие необходимости поддерживать движок, достаточно делать шкурку и какие-то мелкие вещи, вроде своего блокировщика и серверных компонентов. В том случае, если бы они форкнули Gecko, то им пришлось бы либо согласовывать изменения, либо делать одну и ту же работу дважды, и потом частично выкидывать, либо в случае несовпадения желаний вести разработку полностью самостоятельно.
Зачем бы нам могло понадобиться форкать Гекко?
Есть более приземлённые причины — хромовский код просто качественнее и лучше расширяется. Этого достаточно.
Есть более приземлённые причины — хромовский код просто качественнее и лучше расширяется. Этого достаточно.
Зачем бы нам могло понадобиться форкать Гекко?Каким образом бы тогда осуществлялась совместная работа с кодом? Или бы вы не изменяли движок?
хромовский код просто качественнееВ какой задаче качественнее? Есть примеры, как хромовский код курсор перерисовывает. С дополнительной поддержкой, внедрение компонентов Servo происходило бы гораздо быстрее.
Каким образом бы тогда осуществлялась совместная работа с кодом? Или бы вы не изменяли движок?
Таким же, каким и с Блинком — путём его модификации. Пример, или в директорию patches можно заглянуть в том же репо
Что вы можете сказать по этому поводу? https://spyware.neocities.org/articles/brave.html
Spyware Level: High
«Кто все эти люди??..»
НЛО прилетело и опубликовало эту надпись здесь
Каким образом отсутствие рекламной аналитики и кнопок «поделиться» ломает отображение веб страниц?
вместе с ними блокируется встраиваемый контент: посты, видосики. Поэтому пришлось сделать отдельные настройки для фб/твиттера, у меня, к примеру, они выключены — отлично себя чувствую.
Впервые слышу, можно пример?
НЛО прилетело и опубликовало эту надпись здесь
В firefox при знакомстве с браузером выводит предупреждение о подобном том, что блокировка аналитики может ломать отображение. Как насчёт того, чтобы вам тоже его показывать и блокировать эти элементы по умолчанию?
Кажется, речь идёт о немного разных вещах. Аналитику мы и так без предупреждений блокируем по умолчанию.
Встраиваемые твиты и «Login with Google» — это другая вещь, и ФФ их конечно не блокирует. В Брейве же для этого есть настройка github.com/brave/brave-browser/wiki/Allow-Google-login---Third-Parties-and-Extensions
Можете проверить вот здесь fmarier.github.io/brave-testing/social-widgets.html
Встраиваемые твиты и «Login with Google» — это другая вещь, и ФФ их конечно не блокирует. В Брейве же для этого есть настройка github.com/brave/brave-browser/wiki/Allow-Google-login---Third-Parties-and-Extensions
Можете проверить вот здесь fmarier.github.io/brave-testing/social-widgets.html
Ну так этими "скриптами" половина Интернета увешана сейчас, и если их отключить, то страницы не будут работать.
С чего такой вывод? Не будут только работать функции связанные с Facebook или Twitter, не более того — если речь конечно именно о трекинговых скриптах и виджетах, то что у них на CDN — совсем другое дело и приватности не угрожает.
На девятой минуте в адресной строке печаталось слово «brave» (как пример потенциального поискового запроса), а затем удалялось посимвольно. Потом пользователь вставлял в адресную строку слово «password» целиком и таким же образом это слово удалял. Это делалось для того, чтобы отследить, передает ли браузер данные пользователя, включая случайно вставленную информацию, каким-либо удаленным службам.Это называется автодополнением поисковых запросов и настраивается. Это не является напрямую шпионскими функциями, хотя может отрицательно сказаться на приватности.
Браузер Brave автоматически добавляет свои партнёрские коды в URL
И ещё, пользуясь возможностью, задам вопрос — что у Brave с воспроизводимыми сборками?
Это называется автодополнением поисковых запросов и настраивается. Это не является напрямую шпионскими функциями, хотя может отрицательно сказаться на приватности.
Именно не является, поэтому в статье этого и не сказано. Также совершенно ясно, что если по ошибке вставить из буфера пароль в омнибокс, то функция автодополнения в блестящем стиле отправит его в облако.
И ещё, пользуясь возможностью, задам вопрос — что у Brave с воспроизводимыми сборками?
Всё сложно. Это конечно есть на радарах, но часть проблем выглядит труднорешаемой. Например, подстановка ключей/токенов в бинарь, которую делает наша CI.
В Brave отсутствует автодополнение? В FIrefox, когда я последний раз смотрел, задавался вопрос о том, нужна ли эта функция пользователю или нет. Какое значение было по умолчанию не помню, это нужно создать новый профиль.
Ключи/токены обязательно должны быть в бинарнике? Я правильно понимаю, что имея исходники и уже собранный браузер с известными ключами, собрать идентичный будет невозможно, даже наложив патчи на систему сборки?
Ключи/токены обязательно должны быть в бинарнике? Я правильно понимаю, что имея исходники и уже собранный браузер с известными ключами, собрать идентичный будет невозможно, даже наложив патчи на систему сборки?
Отсутствует автодополнение через поисковые движки. Есть автодополнение сайтов из закладок, например, или из захардкоженного Alexa top 100
Без ключей не смогут работать облачные АПИ — тот же Сейфбраузинг, или скачивание списков блокировщика.
Которые патчи?
Без ключей не смогут работать облачные АПИ — тот же Сейфбраузинг, или скачивание списков блокировщика.
Я правильно понимаю, что имея исходники и уже собранный браузер с известными ключами, собрать идентичный будет невозможно, даже наложив патчи на систему сборки?
Которые патчи?
Которые патчи?Вопрос не выглядит понятным.
Речь идёт о том, чтобы извлечь ключи из уже собранного браузера, и поправив систему сборки так, чтобы она взяла эти ключи.
Точно так же интересует вопрос — все ли составляющие браузера открыты, или же ситуация как с VS Code, когда открыта только часть?
Речь идёт о том, чтобы извлечь ключи из уже собранного браузера, и поправив систему сборки так, чтобы она взяла эти ключи.
100% идентичный билд точно не получится, потому что этого не умеет и Хромиум, например, из-за вкомпиливания в код каких-нибудь таймстемпов или номеров билда. В остальном, на вскидку в голову ничего не приходит, но больше чем уверен что есть другие препятствия. Иначе мы бы это сделали уже — популярный запрос и большой выигрыш для бренда.
Собственно, (насколько мне известно) некоторым мэинтэйнерам линуксовых пакетов мы выдаём ключи, и они поддерживают сборки.
Я правильно понимаю, что самостоятельно, полностью на своей машине не получится собрать функциональный аналог, из-за отсутствия ключей в общем доступе?
Всё верно. К Хромиуму это тоже относится.
Можете подсказать, куда смотреть? Я несколько раз собирал сам, и отличия от бинарного пакета не заметил. Ради такого надо будет специально пересобрать его в контейнере.
Гугловские ключи нужны для геолокации, сейфбраузинга, синхры и т. д.:
www.chromium.org/developers/how-tos/api-keys
blog.chromium.org/2021/01/limiting-private-api-availability-in.html и почтовый тред к нему groups.google.com/a/chromium.org/g/chromium-packagers/c/SG6jnsP4pWM
С каким именно бинарным пакетом вы сравнивали?
www.chromium.org/developers/how-tos/api-keys
blog.chromium.org/2021/01/limiting-private-api-availability-in.html и почтовый тред к нему groups.google.com/a/chromium.org/g/chromium-packagers/c/SG6jnsP4pWM
С каким именно бинарным пакетом вы сравнивали?
Посмотрел на пакет, последний коммит 8d3870e. Часть ключей вообще явно прописана, так что хромиум можно собрать локально(по крайней мере до изменения доступности апи), с той же функциональностью.
Да, если сравнивать с каким-то таким пакетом, то его конечно можно собрать локально, и получится сборка, с функциональностью, аналогичной именно этому пакету (при этом, вероятно, «идентичного» или «воспроизводимого» билда не выйдет).
Но функциональность, очевидно, будет неполная — см казус с синхрой, которую уже оторвали.
Но функциональность, очевидно, будет неполная — см казус с синхрой, которую уже оторвали.
при этом, вероятно, «идентичного» или «воспроизводимого» билда не выйдетЯ понизил требования с «воспроизводимой сборки», до «функционально идентичной».
Но функциональность, очевидно, будет неполная — см казус с синхрой, которую уже оторвали.Функциональнасть останется полной — теперь нигде не будет работать синхронизация.
Факт невозможности самостоятельной пересборки ставит Brave в один ряд с Chrome.
Мне определённо нравится такая характеристика полноты — чем меньше фич, тем полнее браузер!
Факт того, что «Brave» начинается на «B» ставит его в один ряд с Bluetooth. А факт возможности набирать в нём текст — в один ряд с Word.
Если же говорить о приватности, то голый Хромиум это довольно печальное зрелище. В нём никто не вырубит FLoC и никто не сделает эфемерное хранилище для трекинговых кук.
Факт невозможности самостоятельной пересборки ставит Brave в один ряд с Chrome.
Факт того, что «Brave» начинается на «B» ставит его в один ряд с Bluetooth. А факт возможности набирать в нём текст — в один ряд с Word.
Если же говорить о приватности, то голый Хромиум это довольно печальное зрелище. В нём никто не вырубит FLoC и никто не сделает эфемерное хранилище для трекинговых кук.
Мне определённо нравится такая характеристика полноты — чем меньше фич, тем полнее браузер!Речь идёт не о фичах, а речь идёт о том, том, насколько код установленного браузера совпадает с опубликованным кодом. Во-первых, это говорит о наличии каких-то подарков, заботливо данных производителем, во-вторых, это определяет лёгкость написания своих собственных патчей. А то, что функционал chromium пострадал — это всего лишь политика гугла, у firefox такой проблемы нет, например они используют свой собственный сервис синхронизации.
Если же говорить о приватности, то голый Хромиум это довольно печальное зрелище.В сообщении выше я сравнивал Brave с Chrome, а не Chromium, поскольку собрать локально Chrome не получится, его собирает гугл.
… насколько код установленного браузера совпадает с опубликованным кодом. Во-первых, это говорит о наличии каких-то подарков, заботливо данных производителемЧуть выше говорили о «функциональной идентичности», теперь о «совпадении кода» — ещё раз напомню, что это разные вещи.
В Брейве нет подарков. Собранный руками код будет такой же, как и официальный, но (некоторые) АПИ серверов Брейва будут давать отлуп. Запросы на это АПИ будут идти точно так же, но без ключей.
firefox такой проблемы нет, например они используют свой собственный сервис синхронизации.
У ФФ эта «проблема» конечно же есть, для его полноценной сборки нужен и ключ от Мозиллы и ключ от (сюрприз) Гугла
В сообщении выше я сравнивал Brave с Chrome, а не Chromium, поскольку собрать локально Chrome не получится, его собирает гугл.
Совершенно верно, а я сранивал Brave с Word и с Bluetooth. С точки зрения функциональности и приватности, как я думаю и вам тоже очевидно, это два перепендикулярных продукта — один делает бизнес на высасывании данных из пользователей, другой — на максимально возможной защите этих данных.
Точно так же интересует вопрос — все ли составляющие браузера открыты, или же ситуация как с VS Code, когда открыта только часть?
Есть, например, полностью закрытый Widevine. Но он скачивается-устанавливается только с явного разрешения пользователя, при первой попытке им что-то декодировать.
Есть некоторые компоненты на brave://components — например, базы Сейфбраузинга используются гугловские, это по сути список хэшей. Но их «оригинал» формально нельзя назвать «открытым».
Наши компоненты (например, списки блокировщиков рекламы) — открытые, и многие серверные компоненты тоже открытые (сервис обновлений, сервер синхронизации). Знаем, что их очень нравится использовать другим форкам Хромиума
Что такое телеметрия, почему рядом со словами — никакая приватная информация не пересылается тут же добавляется но посылается очень много телеметрии (про мозиллу)?
Пример телеметрии в хромоподобном браузере — chrome://histograms или chrome://ukm.
В Брейве штатная телеметрия полностью выкошена, вместо неё есть более лучшая своя, которая не позволяет идентифицировать браузер.
В Брейве штатная телеметрия полностью выкошена, вместо неё есть более лучшая своя, которая не позволяет идентифицировать браузер.
НЛО прилетело и опубликовало эту надпись здесь
Пример телеметрии Хрома (и это малая часть).
Такая телеметрия позволяет полностью идентифицировать браузер, т.е. приватной не является
Такая телеметрия позволяет полностью идентифицировать браузер, т.е. приватной не является
Может среди шпионов со стажем Brave еще новичок, но до звания самого приватного браузера ему как до китая:
https://digdeeper.neocities.org/ghost/browsers.html#brave
https://web.archive.org/web/20181012155256/https://spyware.neocities.org/articles/brave.htm
Учитывая его предыдущие выходки
www.opennet.ru/opennews/art.shtml?num=54621
www.opennet.ru/opennews/art.shtml?num=53112
я бы остерегся его использовать (разве что самостоятельно его собрав и тщательно проверив).
К тому же по моему мнению brave не предоставляет ничего действительно полезного, чего не было бы в известных дополнениях, а на приватность действительно ориентируются, а не просто делают заявления (как brave, firefox, chrome, safari) другие браузеры: Ungoogled chromium, librewolf
https://digdeeper.neocities.org/ghost/browsers.html#brave
https://web.archive.org/web/20181012155256/https://spyware.neocities.org/articles/brave.htm
Учитывая его предыдущие выходки
www.opennet.ru/opennews/art.shtml?num=54621
www.opennet.ru/opennews/art.shtml?num=53112
я бы остерегся его использовать (разве что самостоятельно его собрав и тщательно проверив).
К тому же по моему мнению brave не предоставляет ничего действительно полезного, чего не было бы в известных дополнениях, а на приватность действительно ориентируются, а не просто делают заявления (как brave, firefox, chrome, safari) другие браузеры: Ungoogled chromium, librewolf
НЛО прилетело и опубликовало эту надпись здесь
по моему мнению brave не предоставляет ничего действительно полезногоBrave в мире браузеров — это что-то типа Telegram в мире мессенджеров.
Если судить с позиции прайваси-гиков, то оба приложения — очень так себе, и есть намного более крутые аналоги. Но вот беда: бескомпромиссная приватность достигается ценой серьезных жертв в функциональности и/или удобстве. Плюс пишутся такие приложения обычно
Здесь же концепция в том, чтобы предложить некий приемлемый для обычного человека (того самого, которому «нечего скрывать») уровень приватности, не проигрывая при этом в фичах и комфорте. Вполне здравый подход, по-моему.
Но вот беда: бескомпромиссная приватность достигается ценой серьезных жертв в функциональности и/или удобстве.Соцсети лучше мессенджеров, так как позволяют просматривать информацию анонимно, хоть через curl, хоть через тор, если это не закрытая группа, при том, что соцсети не писались энтузиастами. А тут будь добр засвети своё номер телефона.
НЛО прилетело и опубликовало эту надпись здесь
Ещё Iron. Буквально прямо сейчас задумываюсь на него перейти с FF.
Хром 90 релизится на днях, а Iron только-только виндовую сборку на 89 обновил. Не надо пользоваться старыми браузерами, это главнейшая дыра в безопасности.
Ой, а как же я жив-то до сих пор, с принудительно отключёнными обновлениями во всех используемых браузерах?
НЛО прилетело и опубликовало эту надпись здесь
Я вот это пишу из FF 80, с тех пор только семь мажорных версий вышло, а минорных не счесть. С компьютера со свежим антивирусом, файрволлом и за роутером, на которых запрещено всё, что явно не разрешено.
Вы уверены, что сможете назвать хотя бы одну реально угрожающую мне опасность из-за не обновлённого браузера? Про всякие umatrix я даже упоминать не буду.
Вы уверены, что сможете назвать хотя бы одну реально угрожающую мне опасность из-за не обновлённого браузера? Про всякие umatrix я даже упоминать не буду.
Их документируют и называют специально обученные люди www.mozilla.org/en-US/security/known-vulnerabilities/firefox
Антивирус ищет по чёрным спискам, то есть защищает от известных зловредов с некоторой задержкой. Запрещено что — запуск программ или сетевые подключения? Уязвимость не обязана быть в js, она может быть и, например, из-за шрифта или картинки. Что с обновлениями безопасности для других компонентов?
Конечно, вся не разрешённая сетевая активность запрещена на локальном брандмауэре, а дополнительно ещё прикрыто всё на роутере (как раз на случай каких новомодных зараз, эксплуатирующих какие неизвестные доселе уязвимости винды). Вот это как раз основы безопасности, а вовсе не «вовремя обновлённый браузер». Куда важнее вдумчиво подобрать себе набор расширений для безопасности браузера, которые на лету блокируют вредоносные домены, скрытые фреймы и прочая, так как любой, даже самый обновлённый браузер без этого всего будет до определённой степени уязвим.
А что вы ожидаете увидеть? Вам вполне могут поставить майнер или подключить к ботнету, и вы этого скорее всего не заметите.
habr.com/ru/company/brave/blog/551588/#comment_22918752
Вот вы как себе это технически представляете?
Вы понимаете, что это байки из разряда олимпиарда уязвимостей в винде, испытать 99.9% из которых на себе рядовому пользователю никогда не доведётся?
А если сидеть в интернете с голой задницей, кликать и запускать всё подряд, то никакой обновлённый браузер не поможет, про «главнейшую дыру в безопасности» это ерундистика конечно.
Вот вы как себе это технически представляете?
Вы понимаете, что это байки из разряда олимпиарда уязвимостей в винде, испытать 99.9% из которых на себе рядовому пользователю никогда не доведётся?
А если сидеть в интернете с голой задницей, кликать и запускать всё подряд, то никакой обновлённый браузер не поможет, про «главнейшую дыру в безопасности» это ерундистика конечно.
Если сегодня российский софт не работает на товарища майора, это не значит что он не будет делать этого и завтра.
Когда подобные исследования проводит и публикует заинтересованная компания, сразу возникает по меньшей мере чувство настороженности: зачем ей это?
Чиним Интернет, однако
Так чините молча. Шуметь так зачем?
В общем и целом понятно, раз минусуют, значит рыльце в пушку. Значит, не стоит вся эта пиарщина яйца выеденного. Как пить дать. А может быть очень даже, что подментована «санфрацискины» властями. Резюме: не будьте лохами от данайцев дары принимаючи.
До этого «шума» на opennet лично я, к примеру, и не слышал об этом браузере. А теперь рассматриваю как потенциальную альтернативу Firefox (как минимум на мобильных устройствах, где Firefox 70+ начал сильно сдавать позиции в плане скорости). Сейчас от Brave меня останавливает то, что Google может кардинально изменить направление движка в худшую для нас сторону + Firefox может окончательно умереть (он сейчас используется в множестве важных мест).
НЛО прилетело и опубликовало эту надпись здесь
Может быть, есть рыбу, сидя на стуле, и подороже будет, зато надежнее и безопаснее, чем…
Кто-то сторонний сделал, если прочитать статью, то в ней можно найти ссылку
Результаты похожие, но не идентичные, разница между исследованиями один год.
Результаты похожие, но не идентичные, разница между исследованиями один год.
НЛО прилетело и опубликовало эту надпись здесь
Интересно, что мы нашли ключ, который, судя по названию, должен был отвечать за передачу телеметрических данных: environment.settings.telemetryEnabled. В нем было выставлено false, но по факту данные пересылались, и в огромном объеме.
А вы не пробовали выключить телеметрию в настройках?
Не понимаю, о чем вообще сыр-бор? Это чистой воды PR и разводилово. Где открытый код? Нет открытого кода? Сразу «до свиданья», говорить не о чем. На что только сообщество время тратит, ***я тут сотни компостов ни на что!
Так вот же он github.com/brave
Интересно сравнить brave vs vivaldi. Не только со стороны безопасности, а со стороны юзабилити. Ибо это проекты примерно одного размера. А сравнивать с ежом, хромом и яндексом — не совсем правильно.
Сотрудник Brave написал, что лидирует в рейтинге браузер Brave. Какой неожиданный вывод)
Осталось дело за малым включить режим такого иследования в функционал браузера.
Этакий режим «параноика», позволяющий на втром экране видеть кто, куда и почему направил пакеты при посещении страницы. Или даже без посещения какой-то страницы…
Это могло бы стать вашим серьезным конкурентным преимуществом.
Этакий режим «параноика», позволяющий на втром экране видеть кто, куда и почему направил пакеты при посещении страницы. Или даже без посещения какой-то страницы…
Это могло бы стать вашим серьезным конкурентным преимуществом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Шпион, выйди вон: что делают браузеры после установки?