Стоит ли доверять так называемым безопасным браузерам

Почему я не советую вам пользоваться браузером Brave

Наверное, вот уже год или полтора, как все вокруг форсят браузер Brave. О нём пишут так много, что в какой-то момент едва ли не каждый начал думать: им пользуются все, кроме меня. Очевидно, что активное продвижение является частью продуманной рекламной стратегии, направленной на повышение узнаваемости бренда и планомерный прирост аудитории, ведь в какой-то момент даже ваш покорный слуга решил, что не имеет права игнорировать новый тренд. Скажу честно, тогда из моего эксперимента, заключавшегося в попытке пересесть с Chrome на Brave, ничего не вышло. И, как я вижу теперь, хорошо, что всё так получилось.

Браузер Brave не настолько безопасен, как нам говорят об этом

Google исправит досадный баг с картинками в следующем обновлении Chrome

Создатели Brave позиционируют его как самый защищённый браузер. Несмотря на то что он основан на движке Chromium, разработчики особым образом его усовершенствовали, добавив ряд защитных механизмов. Например, они исключили из браузера алгоритмы отслеживания Google, запретили перекрёстное отслеживание между сайтами, включили блокировку скриптов и трекеров, анализирующих поведение посетителей. Таким образом удаётся обеспечивать конфиденциальность пользователей, не позволяя сайтам демонстрировать им рекламу, основанную на их предпочтениях. Словом, всё здорово.

Безопасен ли браузер Brave

Brave не проходил ни одного аудита безопасности, в отличие от Chrome, FIrefox и Opera

Но, чтобы там ни пытались говорить нам создатели Brave, ссылаясь на его абсолютную надёжность, этот браузер ни разу не проходил аудита безопасности, способного подтвердить истинность заявлений разработчиков. Это универсальная процедура, которую проводят в отношении сайтов, сервисов и браузеров на основе стандартов, изложенных в руководстве для «современных безопасных браузеров». Оно включает в себя проверку по следующим критериям:

Аудит безопасности браузеров

• Поддержка механизма мастер-паролей;
• Встроенный механизм обновления;
• Поддержка механизма блокирования сбора телеметрии;
• Поддержка правила ограничения домена;
• Поддержка политики защиты контента;
• Поддержка целостности субресурсов;
• Поддержка профилей браузера;
• Организационная прозрачность браузера.

Казалось бы, ну не проходил и не проходил. Разве мало таких браузеров? Да и кто вообще сказал, что этот аудит безопасности действительно что-то даёт? Однако намёк на нечистоплотность Brave возник откуда его совсем не ждали. Как оказалось, браузер отслеживает сайты, которые посещает пользователь, с целью обнаружения криптовалютных бирж, чтобы в нужный момент подставить рефератную ссылку. Затем, если пользователь регистрируется или что-то покупает на бирже, создатели Brave получают комиссию. Таким образом они зарабатывают неплохие деньги, учитывая, что зачастую комиссии могут достигать 50%.

Как обманывают разработчики Brave

Ищете защищённый браузер? Brave — точно не ваш выбор

На самом деле в желании разработчиков немного заработать нет ничего плохого. Но ведь сам факт того, что браузер может определить сайт, сформировать реферальную ссылку под каждого пользователя, а затем отправить эти данные на сервера своих создателей для идентификации, уже вызывает настороженность. В конце концов, я бы очень не хотел, чтобы браузер, на который я возлагаю задачу по обеспечению своей конфиденциальности, мог вести подобную деятельность в тайне от меня самого. И уж тем более, когда речь заходит о таком щепетильном деле, как торговля криптовалютой.

Samsung хочет, чтобы Chrome для Android получил поддержку расширений

Когда об этом стало известно, создатели Brave подтвердили, что сотрудничают с криптовалютными биржами и не видят ничего плохого в том, чтобы получать комиссию с пользователей. Тем не менее, они пообещали удалить этот механизм из браузера с выходом следующего обновления – во избежание дальнейшего скандала. Но даже если они и сделают это, то репутация проекта, как ни крути, уже подмочена. Поэтому я бы не рекомендовал вам пользоваться Brave, если ваша цель – обеспечение собственной безопасности в Сети.

6 лучших браузеров для безопасного и приватного серфинга

Практически каждый сайт в Интернете в той или иной степени отслеживает пользовательское поведение. Обычно для этого используются файлы куки — небольшие блоки данных, которые запоминают ваши предпочтения. Однако, некоторые веб-ресурсы идут еще дальше и не стесняются использовать рекламные трекеры, сторонние куки и механизмы снятия цифровых профилей.

Сторонние файлы cookie — это файлы cookie, которые вставляются другими компаниями, такими как Google, Facebook или рекламными компаниями. Они используются, чтобы следить за вами сразу при посещении разных сайтов, создавая уникальный профиль, который можно использовать для показа рекламы. Эти файлы cookie отслеживают даже местоположение вашего устройства.

Цифровые отпечатки — относительно новая угроза конфиденциальности в сети, позволяющая компаниям узнавать данные вашей активности. Это может быть версия браузера, тип, операционная система, часовой пояс, местоположение, плагины, шрифты и многое другое. Цифровые профили содержат так много данных, что их можно использовать для идентификации одного конкретного пользователя.

Что со всем этим делать? Можно пути по сложному пути и создать свой собственный блокировщик отслеживания на базе платы Raspberry Pi. Вы также можете установить браузерные расширения, такие как Decentraleyes, AdGuard Антибаннер, uBlock Origin или DuckDuckGo. Но первым делам следует выбрать браузер, в который уже встроены надежные функции защиты конфиденциальности.

Firefox

На протяжении многих лет Firefox зарекомендовал себя как альтернатива Google Chrome, ориентированная на конфиденциальность. И каждый год Mozilla улучшает данный аспект браузера. Обычно смена браузера бывает очень болезненной для пользователей, но Firefox может стать отличной отправной точкой.

Прежде всего, Firefox — это быстрый и многофункциональный браузер с собственной экосистемой надстроек, расширений и параметров персонализации. В Firefox есть специальная функция «Улучшенная защита от отслеживания», которая блокирует рекламные трекеры и трекеры социальных сетей, межсайтовые отслеживающие куки, сборщиков цифровых отпечатков. По умолчанию Firefox будет делать это только в приватных окнах. Перейдите в Настройки > Приватность и Защита и переключитесь в режим защиты Строгая, чтобы защита применялась во всех окнах браузера. Предусмотрен также отдельный режим Персональная, который позволяет детально настраивать блокировку.

Brave

Brave — это браузер со встроенными функциями конфиденциальности. По умолчанию, он блокирует средства отслеживания рекламы, межсайтовые куки-файлы и фингерпринтинг. В Brave поддерживается режим защиты «Агрессивный» для блокировки трекеров и рекламы и режим «Строгий» для блокировки сборщиков цифровых отпечатков. Brave построен на кодовой базе Chromium, а это значит, что вы сможете установить в браузер любимые расширения Chrome.

В целом, Brave — это очень быстрый и функциональный браузер. Разработчики используют много нестандартных подходов. Например, браузер пытается продвигать собственную криптовалюту, которая используется для оплаты веб-сайтов. На стартовой странице также отображается информация, посвященная криптовалюте. К счастью, никто вас не обязывает пользоваться этими функциями, вы их можете просто отключить.

Safari

Если вы используете Mac, iPhone или iPad, то Safari — хорошая отправная точка, когда речь идет о конфиденциальности в Интернете. У Apple есть собственный интеллектуальная система Intelligent Tracking Prevention, которая использует технологии машинного обучения для блокировки межсайтового отслеживания. Эта функция включена в браузере по умолчанию. Блокировка не будет строгой, потому что приоритет отдается функциональности веб-сайта, а не блокировке конфиденциальности. Safari не будет блокировать трекеры, если это нарушит работу сайта.

Safari также генерирует отчет о конфиденциальности, чтобы сообщить вам, сколько трекеров было заблокировано. Таким образом, функции конфиденциальности Safari не являются полностью безопасными и далеки от агрессивных.

Microsoft Edge

Вам нравится Google Chrome, но хотите браузер с большим уклоном в сторону конфиденциальности? Тогда Microsoft Edge — ваш выбор. Microsoft проделала большую работу для создания быстрого и безопасного браузера на основе Chromium.

Edge поставляется с функцией «Защита от отслеживания», которая имеет три уровня блокировки: Базовая, Уравновешенная и Строгая. В режиме «Строгая» блокируется большинство средств отслеживания со всех сайтов. В данном режиме рекламные объявления будут наименее персонализированными. Перейдите в Настройки > Конфиденциальность, поиск и службы > Защита от отслеживания и переключитесь в режим Строгая.

Microsoft продолжает разрабатывать и другие функции повышения уровня приватности в Edge. Новый режим Super Duper Security Mode позволяет отключить JIT-компиляцию JavaScript, которая может использоваться для извлечения данных с веб-страниц в режиме реального времени.

DuckDuckGo Privacy Browser

Если вам нужен приватный мобильный браузер для iPhone или Android, вам подойдет Privacy Browser от DuckDuckGo.

Это очень простой и быстрый браузер, который блокирует отслеживание ваших действий и заставляет сайты использовать зашифрованные соединения. Вы можете повысить уровень конфиденциальности, используя приватную поисковую систему DuckDuckGo.

Tor Browser

Хотите действительно анонимного серфинга и полной блокировки отслеживания? Тогда ваш выбор — Tor Browser. Это специализированный браузер, ориентированный на конфиденциальность, который направляет весь трафик через множество различных серверов по всему миру, поддерживаемых добровольцами. Это делает Tor Browser медленным браузером для повседневного использования, но у него есть огромный неоспоримый плюс: процесс маршрутизации и перенаправления очищает все рекламные трекеры, сторонние файлы cookie и даже предотвращает снятие цифровых отпечатков и отслеживание. Tor Browser доступен для Windows, macOS, Linux и Android.

Эксперты проверили современные браузеры на безопасность

Вот уже десять лет ежегодно проходит турнир хакеров Pwn2Own. Его суть заключается в том, что хакерам нужно взломать популярные приложения, сервисы или операционные системы. В этом году на конкурсе были взломаны Microsoft Edge, Windows, macOS, Safari, Ubuntu, Adobe Reader и другие программы. Но вот уже несколько лет Chrome остаётся наименее уязвимым и, следовательно, самым безопасным из всех популярных браузеров. Немецкая фирма X41 D-Sec, специализирующаяся на безопасности, в очередной раз подтвердила это, протестировав различные способы взлома на Chrome, Edge и Internet Explorer.

Стоит отметить, что компания Google заплатила X41 D-Sec за время, потраченное исследователями на тестирование. Чтобы результаты теста не были предвзятыми, эксперты тщательно отобрали критерии исследования и сделали методику тестирования максимально справедливой для всех задействованных браузеров.

Поскольку браузеры стали более сложными, имеют огромное число функций и поддерживают новые спецификации HTML, способов для взлома у злоумышленников стало гораздо больше. Но хорошая новость заключается в том, что разработчики браузеров также увеличили своё внимание вопросам безопасности.

Chrome и Edge ориентированы на так называемую «песочницу» с разными компонентами браузера и использование современных методов борьбы с уязвимостями. Но каждая компания делает это по-своему. Специалисты X41 D-Sec обнаружили, что Chrome применяет свои ограничения безопасности лучше, чем Edge. Chrome также имеет более высокий уровень компартментализации. Как показывает система Qubes, это самый эффективный способ остановить атаку.

Самая большая слабость Edge заключается в том, что Microsoft продолжает полагаться на Internet Explorer. Edge хранит список веб-сайтов, которые предлагают пользователю переключиться на устаревший Internet Explorer, тем самым игнорируя все современные средства защиты, которые есть в Edge. Злоумышленники могут заразить один из таких сайтов, что даст им возможность получить полный контроль над компьютером пользователя. Им достаточно просто купить домен с истёкшим сроком действия, который продолжает появляться в списке устаревших веб-сайтов Edge.

Исследователи также обнаружили, что используемая Edge технология песочницы AppContainer хоть и может обеспечить хорошую изоляцию, Microsoft предоставила ей частичный доступ к таким ресурсам, как сеть, файловая система и реестр Windows. Chrome же использует другой набор методов, чтобы полностью изолировать ненадёжный контент от доступа к тем же ресурсам.

По мнению специалистов X41 D-Sec, Microsoft использует саму операционную систему и функции безопасности во время компиляции для изоляции процессов содержимого программной среды от эксплуатации. Эксперты считают, что Microsoft предоставила контентным процессам слишком много возможностей.

Кроме этого, исследователи отметили, что более важным, чем количество функций песочницы, является то, как эти функции используются для изоляции сайтов и других типов контента, таких как настройки и расширения. Изоляция Chrome более завершённая, чем выборочная изоляция Edge, но исследователи всё же обнаружили эксплойт в одной из экспериментальных возможностей песочницы Chrome. Они также предупредили, что добавление в Chrome новых функций HTML, таких как Service Workers, WebUSB и Web Bluetooth, может также подвергать пользователей новым видам атак.

Специалисты X41 D-Sec считают, что фишинговые атаки являются одними из самых распространённых и опасных. Поэтому они протестировали все три браузера против подобных атак. Они обнаружили, что Edge и Internet Explorer являются наиболее уязвимыми против фишинговых атак, главным образом благодаря поддержке устаревших функций. Тем не менее они также обнаружили, что злоумышленник может почти полностью получить контроль над Chrome через вредоносные расширения. Специалисты смогли обойти проверку безопасности онлайн-магазина расширений Chrome, чтобы сделать это.

Также было определено, что функция Safe Browsing в Google является более безопасной, чем SmartScreen от Microsoft. Но вместе с этим они отметили, что вряд ли они помогут в борьбе с целенаправленными атаками по шпионажу. Результаты службы безопасности также показали, что инженеры Google быстрее исправляют зарегистрированные ошибки, а также предоставляют незапланированные исправления для Chrome, чтобы быстрее исправлять опасные уязвимости, в то время как Microsoft, как правило, ждёт релиза ежемесячного патча.

Таким образом, Edge хоть и защищён не хуже Chrome, но поддержка устаревшего Internet Explorer делает его крайне уязвимым.

Соревнование в приватности. Тестируем браузеры, которые обещают не оставлять следов

Когда-то на «Горбушке» водилась особая порода мужичков с хитрым прищуром, у которых обыватели могли приобрести по сходной цене компакт-диск с адресно-телефонной базой жителей Москвы и остального Подмосковья вплоть до Камчатки. Сейчас торговлей персональными данными занимаются куда более крутые ребята: социальные сети конкурируют в этом бизнесе с поисковиками, от которых с небольшим отрывом отстают банки и прочие коммерческие структуры.

Для трекинга юзеров используются не только файлы cookies и пресловутое отслеживание по IP, но и так называемый отпечаток браузера, включающий данные о версии программы, разрядности ОС, языковых настройках, User Agent, экранном разрешении и иных технических параметрах системы. Еще есть технология Evercookie, реализованная с помощью специального приложения на JavaScript, и поведенческий анализ, когда специальные скрипты собирают информацию о действиях пользователя — времени просмотра веб-страниц, скорости прокрутки, нажатиях на ссылки и прочем. Отследить, а тем более заблокировать все эти функции не так-то просто.

В настройках любого современного браузера можно отыскать раздел «Безопасность», где собраны связанные с приватностью и конфиденциальностью параметры. Так, в Chrome присутствует режим «безопасного просмотра» веб-страниц со встроенной защитой от «потенциально опасных» сайтов, возможность включить собственную DNS-службу, а также настроить электронные ключи и сертификаты. В Opera есть собственный VPN, больше похожий на банальный прокси, и возможность запретить веб-узлам отслеживать исходящий трафик. Плюс та же стандартная «защита от вредоносных сайтов». Firefox имеет встроенную защиту от трекинга, позволяет настроить параметры хранения паролей, cookies и истории браузера.

Однако все эти технические ухищрения нивелируются возможностью установки плагинов, которые могут творить почти все, что угодно их разработчикам. Некоторые плагины способны отправлять личные данные на удаленный сервер, отслеживать действия пользователя, встраивать в просматриваемые веб-страницы рекламу. В общем, если элементарная защита от слежки встроена практически во все современные браузеры, то защита от юзера там напрочь отсутствует.

Считается, что безопасные, или, как их еще называют, защищенные, браузеры — это «чистая» программа без всяких свистелок и дополнений, заточенная под максимальную конфиденциальность. Они позволяют работать в интернете, оставляя минимум цифровых следов, блокируют передачу телеметрии и сбор данных. Они осторожно относятся к файлам cookies, истории просмотра и более бережно хранят данные форм, которые заполняет пользователь, либо не хранят их вовсе. Но главное — большинство из них не поддерживает установку сторонних непроверенных расширений, в числе которых к браузеру может «прилипнуть» что-нибудь нехорошее.

Когда речь заходит о защищенных программах для просмотра веб-страниц, первым делом вспоминаешь Tor Browser, хорошо известный всем и каждому. Именно поэтому его мы и не будем рассматривать в этой статье. Тем более что Tor Browser чаще используется именно как инструмент для серфинга по даркнету. Вместо него мы пристально взглянем на шесть альтернативных программ, которые их разработчики позиционируют как безопасные и защищенные браузеры для Windows.

Доверяй, но проверяй!

Чтобы узнать, стоит ли доверять подобным программам, я решил не изобретать сложных стендов и не заниматься постройкой специальной лаборатории. Для сравнения защищенных браузеров вполне достаточно виртуалки со свежеустановленной виндой и нескольких онлайновых тестов, специально созданных для проверки уровня безопасности подобных программ. Вот они.

— проверяет уязвимости в браузере и тестирует настройки работы с файлами cookies. По умолчанию для прохождения теста предлагается установить специальный плагин, но можно обойтись и без него, воспользовавшись ссылкой на сайте. — тест от известной компании Cloudflare, проверяет используемые браузером DNS, сертификаты, настройки cookies и наличие известных уязвимостей. — комплексная проверка браузера на возможность утечки данных. Проверяется отслеживание по IP, отпечатку браузера, тестируются настройки приватности. — тест на third-party tracking cookies и отслеживание по отпечатку браузера. — сервис, демонстрирующий всю информацию, которую твой браузер передает веб-сайтам в интернете.

Итак, с критериями оценки разобрались. Теперь перейдем к нашим подопытным браузерам — какие результаты они нам покажут с настройками по умолчанию? Сейчас узнаем!

Comodo Dragon

• Разработчик: Comodo Group
• Сайт:comodo.com/home/browsers-toolbars/browser.php

Comodo Dragon, пожалуй, самое раскрученное решение для безопасного серфинга в сети после Tor Browser. Dragon претендует на роль универсального решения для тех, кому неохота ждать по полчаса, пока запустится Tor.

Репутация Comodo однажды серьезно пострадала — когда в 2016 году компанию уличили в том, что ее продукты без спроса ставили на компьютеры VNC-сервер.

На самом деле чуваки из Comodo сделали целых два секьюрных браузера с одним и тем же набором функций, но на разных движках: Comodo Dragon на платформе Chromium и Ice Dragon на базе Firefox. Среди заявленных возможностей — встроенная защита от малвари, использование безопасных DNS, блокировка cookies и валидация доменов для борьбы с фишингом.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее