Edge и Яндекс оказались наименее приватными браузерами

Edge и Яндекс оказались наименее приватными браузерами

Проблема связана с идентификаторами, отправляемыми браузерами вендорам.

image

Браузеры Microsoft Edge и Яндекс меньше всего заботятся о приватности пользователей по сравнению с Google Chrome, Mozilla Firefox, Apple Safari и Brave. К такому выводу пришел профессор Дуглас Дж. Лейт (Douglas J. Leith) из Тринити-колледжа в Дублине по итогам проведенного исследования.

Ученый исследовал сетевую активность браузеров Chrome, Firefox, Safari, Brave, Edge и Яндекс, используя прокси для перехвата зашифрованного трафика. Он проанализировал данные, отправленные при первом запуске браузера и передаваемые при переходе на web-страницу (путем копирования URL-адреса в адресную строку или ручного ввода). Все тесты проводились на компьютере под управлением macOS, даже в случае с Edge. Также исследователь проверил активность, когда браузеры оставались бездействующими в течение 24 часов.

«С точки зрения конфиденциальности браузеры можно разделить на три отдельные группы. В первой (наиболее конфиденциальной) группе находится Brave, во второй — Chrome, Firefox и Safari, а в третьей — Edge и Яндекс», — отметил профессор.

По словам Лейта, проблема связана с идентификаторами, отправляемыми браузерами вендорам. Edge и Яндекс используют аппаратные идентификаторы, связанные с физическим аппаратным обеспечением устройства, которые не так просто изменить. В свою очередь Chrome и Firefox используют в качестве идентификаторов случайные числа, генерируемые при первом запуске браузера. Они сохраняются между сеансами, но сбрасываются при новой установке. Для обеспечения чистой установки профессор удалил конфигурационные данные в пользовательском профиле браузера.

В ходе исследования Лейт попытался проанализировать поведение браузера при ручном вводе URL в адресную строку и при его копировании. В случае копирования браузер Chrome генерировал запрос к поисковому серверу Google, содержащий подробности URL. Аналогично, Edge отправлял запрос, содержащий URL, и идентифицирующий cookie-файл API Bing. Браузер Яндекс также передавал URL на свои серверы перед навигацией. Firefox, Brave и Safari не собирали никаких данных из скопированного URL.

В случае ручного ввода проблемой является функция автозаполнения. В этом случае наиболее агрессивным является Safari, который в ходе исследования генерировал в общей сложности 32 запроса к Google и Apple. В запросы к Apple включали в себя идентификаторы, которые сохранялись при перезагрузке браузера и могли использоваться для связывания запросов друг с другом и воссоздания истории браузера. Chrome генерировал 19 запросов к серверу Google, которые также содержали идентификаторы.

Firefox оказался более надежным, так как не отправлял в составе запросов никакие идентификаторы, а лидером оказался Brave, в котором автозаполнение отключено по умолчанию, и запросы вовсе не отправляются.

Как отметил Лейт, производители браузеров должны уведомлять пользователей о подобных явлениях, а также предоставлять четкую информацию о последствиях поиска и автоподбора в браузере.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.