Соревнование в приватности. Тестируем браузеры, которые обещают не оставлять следов

Marat_1162

Стаж на ФС с 2014 г
ЖУРНАЛИСТ
Private Club
Старожил
Migalki Club
Меценат
Регистрация
25/3/16
Сообщения
4.625
Репутация
8.866
Реакции
22.633
RUB
0
Сделок через гаранта
4
Депозит
3 500 рублей
Установка специального безопасного браузера — это один из способов быстро и легко повысить уровень своей приватности. Только браузеров этих развелось в последнее время как блох на барбоске. С какими из них не страшно и в огонь, и в воду, и на сайты для взрослых, а с какими лучше дальше Яндекса не ходить вовсе? Сегодня мы попытаемся найти ответ на этот животрепещущий вопрос.
Когда-то на «Горбушке» водилась особая порода мужичков с хитрым прищуром, у которых обыватели могли приобрести по сходной цене компакт-диск с адресно-телефонной базой жителей Москвы и остального Подмосковья вплоть до Камчатки. Сейчас торговлей персональными данными занимаются куда более крутые ребята: социальные сети конкурируют в этом бизнесе с поисковиками, от которых с небольшим отрывом отстают банки и прочие коммерческие структуры.

Для трекинга юзеров используются не только файлы cookies и пресловутое отслеживание по IP, но и так называемый отпечаток браузера, включающий данные о версии программы, разрядности ОС, языковых настройках, User Agent, экранном разрешении и иных технических параметрах системы. Еще есть технология Evercookie, реализованная с помощью специального приложения на JavaScript, и поведенческий анализ, когда специальные скрипты собирают информацию о действиях пользователя — времени просмотра веб-страниц, скорости прокрутки, нажатиях на ссылки и прочем. Отследить, а тем более заблокировать все эти функции не так-то просто.


В настройках любого современного браузера можно отыскать раздел «Безопасность», где собраны связанные с приватностью и конфиденциальностью параметры. Так, в Chrome присутствует режим «безопасного просмотра» веб-страниц со встроенной защитой от «потенциально опасных» сайтов, возможность включить собственную DNS-службу, а также настроить электронные ключи и сертификаты. В Opera есть собственный VPN, больше похожий на банальный прокси, и возможность запретить веб-узлам отслеживать исходящий трафик. Плюс та же стандартная «защита от вредоносных сайтов». Firefox имеет встроенную защиту от трекинга, позволяет настроить параметры хранения паролей, cookies и истории браузера.

Однако все эти технические ухищрения нивелируются возможностью установки плагинов, которые могут творить почти все, что угодно их разработчикам. Некоторые плагины способны отправлять личные данные на удаленный сервер, отслеживать действия пользователя, встраивать в просматриваемые веб-страницы рекламу. В общем, если элементарная защита от слежки встроена практически во все современные браузеры, то защита от юзера там напрочь отсутствует.

Считается, что безопасные, или, как их еще называют, защищенные, браузеры — это «чистая» программа без всяких свистелок и дополнений, заточенная под максимальную конфиденциальность. Они позволяют работать в интернете, оставляя минимум цифровых следов, блокируют передачу телеметрии и сбор данных. Они осторожно относятся к файлам cookies, истории просмотра и более бережно хранят данные форм, которые заполняет пользователь, либо не хранят их вовсе. Но главное — большинство из них не поддерживает установку сторонних непроверенных расширений, в числе которых к браузеру может «прилипнуть» что-нибудь нехорошее.

Когда речь заходит о защищенных программах для просмотра веб-страниц, первым делом вспоминаешь Tor Browser, хорошо известный всем и каждому. Именно поэтому его мы и не будем рассматривать в этой статье. Тем более что Tor Browser чаще используется именно как инструмент для серфинга по даркнету. Вместо него мы пристально взглянем на шесть альтернативных программ, которые их разработчики позиционируют как безопасные и защищенные браузеры для Windows.


Доверяй, но проверяй!

Чтобы узнать, стоит ли доверять подобным программам, я решил не изобретать сложных стендов и не заниматься постройкой специальной лаборатории. Для сравнения защищенных браузеров вполне достаточно виртуалки со свежеустановленной виндой и нескольких онлайновых тестов, специально созданных для проверки уровня безопасности подобных программ. Вот они.

  • — проверяет уязвимости в браузере и тестирует настройки работы с файлами cookies. По умолчанию для прохождения теста предлагается установить специальный плагин, но можно обойтись и без него, воспользовавшись ссылкой на сайте.
  • — тест от известной компании Cloudflare, проверяет используемые браузером DNS, сертификаты, настройки cookies и наличие известных уязвимостей.
  • — комплексная проверка браузера на возможность утечки данных. Проверяется отслеживание по IP, отпечатку браузера, тестируются настройки приватности.
  • — тест на third-party tracking cookies и отслеживание по отпечатку браузера.
  • — сервис, демонстрирующий всю информацию, которую твой браузер передает веб-сайтам в интернете.
Итак, с критериями оценки разобрались. Теперь перейдем к нашим подопытным браузерам — какие результаты они нам покажут с настройками по умолчанию? Сейчас узнаем!


Comodo Dragon
  • Разработчик: Comodo Group
  • Сайт:
Comodo Dragon, пожалуй, самое раскрученное решение для безопасного серфинга в сети после Tor Browser. Dragon претендует на роль универсального решения для тех, кому неохота ждать по полчаса, пока запустится Tor.

info-icon.jpg
INFO
Репутация Comodo однажды серьезно пострадала — когда в 2016 году компанию уличили в том, что ее продукты .
На самом деле чуваки из Comodo сделали целых два секьюрных браузера с одним и тем же набором функций, но на разных движках: Comodo Dragon на платформе Chromium и Ice Dragon на базе Firefox. Среди заявленных возможностей — встроенная защита от малвари, использование безопасных DNS, блокировка cookies и валидация доменов для борьбы с фишингом.

Я скачал сразу обе версии «Ящерки» и запустил их на виртуалке по очереди. Внешне Dragon выглядит как привычный Chrome и запускается примерно с той же скоростью — на моей виртуалке его загрузка заняла в среднем 4,5 секунды. От «Хрома» браузер унаследовал и любовь к оперативной памяти — с одним окном и одной открытой вкладкой Comodo Dragon с ходу запустил в системе пять процессов и отожрал 90 Мбайт.


Comodo Dragon, как любой уважающий себя Chromium, любит память

Что ж, посмотрим, что скажут тесты.

  • Qualys Browser Check распознал в Comodo Dragon браузер Chrome, причем устаревшей версии, после чего предложил скачать с сайта Google версию поновее.
  • Cloudflare Browsing Experience Security Check определил, что Dragon не проверяет подлинность ответов DNS-серверов с помощью DNSSEC и не поддерживает шифрование имени сервера SNI при установке TLS-соединения, — теоретически это может поставить под угрозу конфиденциальность.
  • Тест Privacy Analyzer показал, что Dragon успешно передал удаленному узлу мой IP-адрес, локацию, версию браузера, разрядность ОС и данные об экранном разрешении.
  • Panopticlick продемонстрировал, что браузер имеет уникальный «отпечаток» и не посылает на сервер HTTP-флаг DNT (do not track), а это позволяет отслеживать пользователя. Все остальные тесты безопасности на этом сайте Comodo Dragon прошел успешно.
  • Наконец, судя по страничке Webkay, помимо версии и разрядности Windows, IP-адреса и экранного разрешения, Dragon позволяет верно распознать уровень заряда батареи моего девайса и тип процессора. Просканировать локальную сеть в поисках доступных устройств браузер не дал.
Comodo Ice Dragon внешне мало чем отличается от своего «неледяного» собрата. Firefox и Firefox, ничего особенного. Загружается и работает он довольно шустро: от щелчка мышью на значке до запуска приложения прошло три секунды.


Comodo Ice Dragon похож на обычный Firefox
  • Qualys Browser Check не обнаружил никаких недостатков, тест пройден со стопроцентным успехом.
  • Cloudflare Browsing Experience Security Check показал в точности тот же результат, что и в предыдущем случае.
  • По заключению Privacy Analyzer, браузер отдает наружу все те же данные, что и его родной брат, в том числе IP-адрес и версию ОС.
  • Panopticlick сообщил, что программа не блокирует попытки рекламного трекинга, не посылает DNT и имеет уникальный «отпечаток».
  • А вот Webkay преподнес сюрприз: оказалось, что браузер имеет уникальный User Agent IceDracon 65.0.2 и не отправляет на сторону вообще никаких данных о железе, кроме разрядности процессора. Зато, помимо внешнего айпишника, Webkay радостно продемонстрировал мне IP сетевого интерфейса моей локалки. С помощью специальной кнопки на сайте я попытался просканировать доступные в локальной сети девайсы, но поиск результатов не принес.

Waterfox
  • Разработчик: Alex Kontos
  • Сайт:
Это еще один клон Firefox с упором на безопасность, имеющий версии не только для винды, но и для macOS и Linux, причем доступна только 64-разрядная версия. В разделе «О программе» официального сайта сказано, что браузер сделал в 2011 году шестнадцатилетний школьник Алекс Контос, который занимается обновлением и поддержкой своего детища и по сей день. Автор утверждает, что его приложение не собирает телеметрию и отправляет наружу только данные о версии браузера и ОС, чтобы вовремя получать обновления. Все остальные конфиденциальные, заверяет разработчик, в полной безопасности. Внешне программа представляет собой самый обычный Firefox — настолько обычный, что даже скучно. Работает и загружается с такой же скоростью, существенных различий с обычной «Лисицей» я не заметил.


Waterfox — это тоже Firefox без особых внешних отличий

Посмотрим, как оценят поделку школьника тесты.

  • Qualys Browser Check — тест пройден успешно, ни одной проблемы не выявлено.
  • Cloudflare Browsing Experience Security Check показал, что у Waterfox есть проблемы с проверкой DDNSEC и применением Encrypted SNI. Кроме того, браузер не поддерживает TLS 1.3.
  • Наконец, Waterfox успешно провалил все тесты Privacy Analyzer, а по данным Panopticlick и Webkay — слил наружу мой IP-адрес, тип и разрядность процессора, а также параметры экранного разрешения, но все остальные данные благоразумно утаил.
Примечательно, что Waterfox распознается как Firefox 56.0, в то время как актуальная версия «Лисицы» на сегодняшний день 79.0. То есть клон отстает от оригинала примерно на вечность, и это может означать проблемы уже не с приватностью, а с безопасностью.


Iron
  • Разработчик: SRWare
  • Сайт:
Iron — это не «ирония», а «утюг» «железо», что как бы намекает нам на брутальность и надежность данного браузера. «Железяка» собрана на основе Chromium, использует последние версии WebKit и V8, а также включает собственный компонент блокировки рекламы. Примечательно, что у сайта разработчика есть русская версия — правда, складывается ощущение, что переведена она на великий и могучий при помощи все того же Google Translate. По утверждениям создателей, Iron не отправляет в Google телеметрию, не отсылает автоматические баг-репорты и не обновляется в фоновом режиме, что позволяет экономить трафик. А еще он обладает «элегантным дизайным».

SRWare Iron похож на Chrome чуть менее, чем полностью. Программа запускается примерно за 3,5 секунды и работает с несколькими открытыми вкладками довольно-таки шустро: значительных тормозов я за ней не заметил. Мне даже показалось, что этот браузер работает побыстрее, чем Chromium в сборке Comodo.


Железный утюг SRWare Iron
  • Qualys Browser Check пожаловался мне на устаревшую версию Google Chrome (83.0.4250) и сообщил, что она небезопасна.
  • Тест Cloudflare продемонстрировал показатели, аналогичные браузерам Comodo, — включенная поддержка TLS 1.3, но претензии к DNSSEC и Encrypted SNI.
  • Panopticlick ругнулся на стандартный набор проблем с приватностью (все тесты оказались провалены) и между делом заметил, что если в SRWare Iron и присутствует какой-то блокировщик рекламы, то он не работает.
  • Privacy Analyzer и Webkay сообщили, что «Железяка» отдает наружу данные о версии браузера, версии и разрядности ОС, IP-адрес, все сведения о железе (включая модель видеокарты, экранное разрешение и состояние батареи), однако данные о локальной сети остались для Webkay тайной.

Brave
  • Разработчик: Brave Software
  • Сайт:
Создатели браузера Brave утверждают, что их продукт на базе Chromium, как никакой другой, предотвращает трекинг и возможные утечки данных. Одна из фишек Brave — возможность отправлять криптовалютные платежи веб-сайтам и создателям контента в виде — разработанной Brave Software криптовалютной платформы на базе Etherium.

В 2017 году, кода платформа была впервые запущена, Brave Software продала токенов на сумму более 35 миллионов долларов США, а новым пользователям платформы раздали в целях привлечения в общей сложности 300 тысяч токенов. Пользователи браузера Brave могут зарабатывать токены за просмотр рекламы или платить создателям контента — либо отправляя микротранзакции, либо используя встроенную функцию Brave, когда заранее установленная сумма вознаграждения распределяется автоматически между владельцами зарегистрированных в системе сайтов в зависимости от того, сколько времени юзер провел за просмотром контента.

Существуют версии браузера для Windows, macOS, Linux, а также Android и iOS. Мы рассмотрим только первую из них, интерфейс которой, как и следовало ожидать, косплеит Chrome.


Криптовалютный браузер Brave
  • Qualys Browser Check показал, что текущая версия Chrome актуальна, обновления не требуется.
  • Тест Cloudflare не продемонстрировал ничего нового — аналогичный результат был и у браузеров Comodo, и у Iron.
  • А вот Panopticlick дал неожиданный результат: как оказалось, Brave успешно блокирует рекламу, автоматический трекинг, но при этом не отправляет DNT и обладает характерным «отпечатком», по которому его можно вычислить.
  • Privacy Analyzer и Webkay удивили еще больше: оба сайта не показали мой IP-адрес и локацию, хотя сервисы вроде WhatIsMyIP его без проблем определили. Браузер передал данные о версии и разрядности ОС, железе (включая процессор, графический адаптер, экранное разрешение и состояние батареи). В качестве User Agent программа использует Chrome 84.0.4147.125.
В целом — неплохой результат. С учетом того что приложение работает достаточно быстро (хотя по ощущениям и медленнее Iron), к нему явно стоит присмотреться.


Epic
  • Разработчик: Hidden Reflex
  • Сайт:
Этот браузер разработан компанией, базирующейся в Бангалоре (Индия) с представительством в Вашингтоне. Тут мне нестерпимо хотелось пошутить про индусский код, но Epic, как и его конкуренты, основан на Chromium, поэтому код там гугловский. Разработчик программы Алок Бхардвадж (Alok Bhardwaj) утверждает, что Epic успешно блокирует трекинг, фингерпринтинг, назойливую рекламу, криптомайнинг и магию вуду. Помимо версии для Windows, на сайте можно скачать релиз для macOS, там же присутствуют ссылки на Google Play и App Store для скачивания мобильных версий.


Это просто Epic какой-то

Сразу после запуска приложения юзер видит грозное предупреждение о том, что некоторые функции браузера, такие как встроенный VPN, прокси и блокировщик рекламы, нужно установить отдельно в виде плагинов, доступных на специальной страничке Epic Extension Store. Чем в таком случае Epic отличается от обычного «Хрома», в котором тоже можно настроить прокси и VPN с помощью плагинов, для меня осталось загадкой. Что ж, посмотрим, что умеет этот браузер из коробки с настройками по умолчанию.

  • Qualys Browser Check — проблем и замечаний нет.
  • Cloudflare — результат, аналогичный Comodo и Iron.
  • Panopticlick — браузер успешно блокирует рекламу и попытки трекинга, но не посылает DNT и имеет характерный «отпечаток».
  • Privacy Analyzer — тест «подвис» на определении IP-адреса и геолокации, результата я так и не дождался.
  • Webkay — сервис успешно определил мой IP и версию ОС, но не показал решительно никаких данных о железе, кроме разрядности процессора. Браузер определяется как Chrome 84.0.4147.105.
Глядя на название продукта, я предвкушал, что можно будет написать об «эпик фейл», но на удивление браузер зарекомендовал себя совсем неплохо. Блокировка рекламы, трекинга, а также минимум передаваемых наружу данных, и все это без дополнительных плагинов — довольно серьезная заявка на успех.


Dooble Web Browser
  • Разработчик: Dooble Project Team
  • Сайт:
Разработка этого браузера с открытым исходным кодом началась двенадцать лет назад. Интерфейс Dooble основан на Qt, а само приложение кросс-платформенное: есть версии для FreeBSD, Linux, macOS, OS/2 и Windows, причем в виде портативной версии для всех платформ. Дистрибутив можно скачать с в виде ZIP-архива, в котором находится исполняемый файл и все нужные библиотеки.

С настройками по умолчанию Dooble автоматически удаляет cookies, а хранимые в программе данные шифруются (за исключением информации о пользовательских настройках). Браузер применяет сессионную модель с использованием временных ключей, при этом парольную фразу можно изменить без потери данных. Мастер-пароль нужно создать в настройках при первом запуске Dooble, иначе при завершении работы все сохраненные в браузере данные будут стерты. Эти функции позволяют условно отнести Dooble к категории безопасных браузеров.

На моей виртуалке с Windows 10 Dooble наотрез отказался запускаться, ругаясь на отсутствие какой-то библиотеки, зато на хостовой машине с Windows 7 он неожиданно заработал. Внешнее оформление программы можно охарактеризовать фразой «привет из девяностых» — у меня он даже выдавил ностальгическую слезу.


Dooble — кросс-платформенный браузер на Qt

Сравнительные тесты дали следующие результаты.

  • Qualys Browser Check — обозвал Dooble небезопасной версией Google Chrome — видимо, из-за используемого браузером User Agent.
  • Cloudflare — результат, аналогичный Comodo, Iron, Epic и Brave.
  • Panopticlick — полный провал теста по всем пунктам.
  • Privacy Analyzer и Webkay — браузер передал IP-адрес, данные об ОС и железе, геолокацию, экранное разрешение. Внешним сервисам программа представляется как Chrome 84.0.4147.163.
Пожалуй, Dooble — самый быстрый из всех браузеров, опробованных мной в этом эксперименте. С учетом того что он представлен в виде портативной версии, приложение может быть очень полезно для систем, в которых затруднена установка программ. Также, вероятно, браузер придется по вкусу пользователям BSD и Linux. Работоспособность приложения в Windows 10 вызывает определенные сомнения.


Выводы
Итоги эксперимента получились неоднозначные. Вопреки ожиданиям, лучшие результаты показала не продукция прославленной компании Comodo, а вполне скромные Brave и Epic. Однако неплох и Comodo Ice Dragon — он отправляет наружу меньше данных об устройстве, чем его собрат. Comodo Dragon я бы поставил на четвертое место. Владельцам устройств со слабым железом и старыми версиями ОС может прийтись по вкусу Dooble, который отличается неплохим быстродействием. А вот Waterfox и Iron утюгом нырнули на самое дно нашего скромного рейтинга — они хуже конкурентов справляются с рекламой и блокировкой трекинга.

Очевидно, что ни одна из перечисленных в сегодняшней статье программ не может обеспечить полную анонимность и безопасность в интернете. Для настоящей конфиденциальности нужно использовать VPN, отключать в настройках браузера обработку скриптов, использовать шифрованные контейнеры для хранения данных форм и паролей. Кроме того, существует широкий ассортимент плагинов, ориентированных на повышение уровня безопасности при работе в сети. Но о них мы подробно поговорим в другой раз.
 
Dragon не так то и много кушает, гугл может и пол гига+ свободно откусить всего для парочки страниц
 
Интересно, кто что думает по дополнению к Firefox которое можно скачать на github называется Librefox? якобы ряд приватных настроек для браузера
 
Кто на что учился...)
Мне тяжеловато даётся понимание всех этих технических настроек.
Читая статьи по безопасности
Развенчал первый миф: думал, что полностью безопасно будет, напримере офиса поставить только мышь, монитор, и клавиатуру, все остальное передаёт по вай Фай в секретную серверную, о которой даже свои не знают. А данные с серверной, через спутниковый телефон за границу. Оказалось спутниковые телефоны без базовых станций в РФ незаконные, скорость передачи низкая, а цена такая, что разорит гос. бюджет.
2. По браузерам непонятно.
Здесь есть талантливые люди. Нельзя свой 1000% безопасный браузер спрограммировать. Пусть он будет платный, но это будет действительно ценный продукт
Или тут тоже есть какие - то подводные "внутримикросхемные" камни?)
 
Интересно, кто что думает по дополнению к Firefox которое можно скачать на github называется Librefox? якобы ряд приватных настроек для браузера
Тоже хочу протестировать
 
Brave зашёл - только лучшие отзывы
И ещё тема с криптокошельками
Я по классике рубли, доллары, евро, в виде бумаги, электронные деньги на расчётных счетах - это понятно было
В крипту не лез не понимал в этом
Brave прямо с установки говорит uphold делай потом поговорим), утрировано
Пришлось разбираться в крипте
Есть в этом потенциал

Потенциал заключается в том, чтобы
В бизнесе в оффлайн выставить номинальную маркетинговую фигуру, показать публично продукт, войти в пулл раздуть валюту
В разрезе в 9 слов:
Показать маркетинговую фигуру
Показать безопасность платежей
Показать ограничение рынка
 
Спасибо большое за материал!
Кто пользовался Brave?как вам ?
 
Сферу никто не тестил?)
 
brave сливает данные, пруфы на ютубе
Сфера сливает ещё больше, начиная от пиксельного маяка на родном сайте, пруфы тамже
Librefox(что накатывают поверх firefox) устарел и неподдерживается разрабами- ставить не советую

Очень хотелось бы теста браузера LibreWolf
 
Спасибо! Давно пользуюсь Brave, было интересно узнать что происходит под капотом)
 
По Brave вроде все ок, но есть непонятки, так как на ютьюбе есть инфа по сливу данных с их стороны
 
Сферу никто не тестил?)
Пользовался только в арбитражных вопросах,когда абузили партнерки.В этом плане,активные 8 вкладок - работает стабильно,не зависало ) Так же понравилась поддержка сферы. А в плане "Безопасности",сфера дает пользователю тщательную настройку,с множеством параметров ) Для меня например безопасность,это не наличие каких либо устройств с нужными мне данными при себе,а так же выход в сеть изначально с общественного вай фая ) А для дома подходит ПЕшка с накатанной tails,например )
 
До сих пор везде пиарят brave. Ну сколько можно...компания неоднократно была застигнута на сливе и продаже данных пользователей. + куча других уязвимостей. Прогоните каждый браузер через amiunique.org например и увидите, что обещания только и остаются обещаниями...запускать надо через vps на удаленном хосте - это единственный способ подменить все идентификаторы и избежать утечки по ip
 
Про brave не знал. Спасибо большое
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Юзайте тор браузер и не грейте голову) Самый анонимный, хоть и не самый быстрый.

Анонимность ТОРа преувеличена, его тоже могут отследить. Это раз. Второе, ТОР годиться только чтобы посидеть в даркнете и пошерстить какие либо сайты (что является извращением). Для какой либо онлайн работы он категорически не годиться, для сайтов с антифродом он как красная тряпка, даже платежку какую нибудь открыть, это можно поиметь себе потом проблем.
 
у тора большой минус это его скорость - наверное самый медленный браузер
 
Брейв оч классный, юзаю его в режиме тора
 
А чем вам тор браузер не угодил?
 
Онлайн-тесты, описанные в статье, предоставляют возможность оценить безопасность различных браузеров. Посредством этих тестов можно проверить уязвимости, настройки файлов cookies и другие важные параметры. Такие тесты особенно полезны для неопытных пользователей, которые хотят защитить свои данные в Интернете. Использование этих тестов позволяет сравнивать и оценивать различные браузеры на основе их безопасности.
 
Сверху Снизу