Усі популярні браузери збирають інформацію про користувачів. На основі пошукових запитів, відвіданих сторінок, прочитаних статей та переглянутих відео будується цифрове досьє користувача, що включає його особисті дані та інтереси. У боротьбі право на приватність інтернет-користувачами використовуються різні програмні засоби. Серед доступних на даний момент варіантів захисту конфіденційної інформації ефективним і при цьому простим інструментом може стати браузер, що забезпечує анонімність у мережі та безпечний веб-серфінг. Більшість популярних оглядачів збирають персональні дані користувачів. Здавалося б, подібний функціонал закладений розробниками виключно з кращих намірів, але така поведінка софту створює певні ризики, коли отримані програмами відомості можуть бути використані з недоброю метою, в тому числі, будучи перехопленими зловмисниками. Багато хто з нас купує в інтернеті, вказуючи дані банківських карток та інші реквізити, до того ж зберігає ці відомості в браузері для зручності оформлення замовлень, що небезпечно з урахуванням сучасних реалій.
Приватні оглядачі не займаються збиранням відомостей про дії користувача та забезпечують блокування реклами та відстежувальних трекерів. Деяких користувачів анонімність у мережі турбує, зокрема через бажання відвідувати заблоковані провайдером ресурси. З використанням анонімайзера вирішується і проблема. Розглянемо найкращі браузери, які застосовуються для анонімного серфінгу в інтернеті. Вони стануть на захист вашої приватності, не дозволять побачити, які ресурси ви відвідуєте, та відстежити розташування комп’ютера.
Щоб дізнатися, чи варто довіряти подібним програмам, я вирішив не ізобретати складних стендів і не займатися побудовою спеціальної лабораторії. Для збереження захищених браузерів цілком достатньо віртуальної реальності зі свіжо встановленою віндою та кількох онлайнових тестів, спеціально створених для перевірки рівня безпеки подібних програм. Ось вони.
Qualys Browser Check — перевіряє вразливість браузера та тестує налаштування роботи з файлами cookies. За замовчуванням для проходження тесту пропонується встановити спеціальний плагін, але його можна використовувати і без нього, скориставшись ссылкой на сайті.
Перевірка безпеки Cloudflare Browsing Experience — тест від відомої компанії Cloudflare, перевіряє використовуваний браузер DNS, сертифікати, налаштування файлів cookie та наявність відомих уразливостей.
Privacy Analyzer — комплексна перевірка браузера з можливістю вилучення даних. Перевіряється відстеження по IP, віддруковується браузер, тестуються налаштування приватності.
Panopticlick — тестування сторонніх файлів cookie і відстеження по відбитку браузера.
Webkay — сервіс, що демонструє всю інформацію, яку ваш браузер передає веб-сайтам в Інтернеті.
Так, з критеріями оцінки розібралися. Тепер перейдемо до наших підопитним браузерам — які результати вони нам показують з настройками за замовчуванням?
Comodo Dragon, пожалуй, саме розкручене рішення для безпечного серфінгу в мережі після Tor Browser. Dragon претендує на роль універсального рішення для тих, кому неохота ждати за півгодини, поки запуститься Tor. Насправді чуваки з Comodo зробили цілих два веб-браузера з одним і тим же набором функцій, але на різних рухах: Comodo Dragon на платформі Chromium і Ice Dragon на базі Firefox. Серед заявлених можливостей — вбудований захист від зловмисників, використання безпечного DNS, блокування файлів cookie та перевірка доменів для боротьби з фішингом.
Я скачав відразу обе версії «Ящерки» і запустив їх на віртуальну почергову. Зовні Dragon виглядає як приватний Chrome і запускається приблизно з такою ж швидкістю — на моїй віртуальній машині його завантаження завантажилася в середньому за 4,5 секунди. Від «Хрома» браузер унаслідував і любив до оперативної пам’яті — з одним вікном і однією відкритою вкладкою Comodo Dragon з ходу запустив в систему п’ять процесів і отожрал 90 Мбайт.
Qualys Browser Check розпізнав у браузері Comodo Dragon Chrome, причому старої версії, після чого запропонував завантажити з сайту Google версію нову.
Cloudflare Browsing Experience Security Check виявила, що Dragon не перевіряє довжину відповідей DNS-серверів за допомогою DNSSEC і не підтримує шифрування імені сервера SNI при встановленні TLS-підключення, — теоретично це може поставити під загрозу конфіденційності.
Тест Privacy Analyzer показав, що Dragon успішно передав видаленому узлу мій IP-адресу, локацію, версію браузера, розрядність ОС і дані про екранні дозволи.
Panopticlick продемонстрував, що браузер має унікальний «віддрук» і не надсилає на сервер HTTP-флаг DNT (не відстежувати), а це дозволяє відстежувати користувача. Усі інші тести безпеки на цьому сайті Comodo Dragon пройшли успішно.
Після, судячи на сторінці Webkay, з урахуванням версій і розрядності Windows, IP-адреси і екранного дозволу, Dragon дозволяє вірно розпізнати рівень заряду акумулятора мого девайса і тип процесора. Просканувати локальну установку в пошуках доступних пристроїв браузер не дав.
Qualys Browser Check не виявила жодних недоліків, тест пройдений зі стопроцентним успіхом.
Cloudflare Browsing Experience Security Check показала точність того самого результату, що і в попередньому випадку.
Після завершення Privacy Analyzer, браузер видає нарузі всі ці дані, що і його рідний брат, в тому числі IP-адресу і версію ОС.
Panopticlick повідомив, що програма не блокує спроби рекламного трекінгу, не посилає DNT і має унікальний «відбиток».
Ось Webkay преподнес сюрприз: виявилося, що браузер має унікальний User Agent IceDracon 65.0.2 і не передає взагалі ніяких даних про залізо, крім розрядності процесора. Тому, помімо зовнішнього айпишника, Webkay з радістю продемонстрував мені IP мережевого інтерфейсу моєї локалки. За допомогою спеціальної кнопки на сайті я спробував просканувати доступні в локальній мережі девайси, але результати пошуку не прийшли.
Comodo Ice Dragon зовнішньо мало чим відрізняється від свого «неледяного» собрата. Завантажується і працює він досить швидко: від щелчки мишью на значку до запуску програми пройшло три секунди.
Це ще один клон Firefox із запорукою безпеки, яка має версії не тільки для вінди, але й для macOS і Linux, причому доступна тільки 64-розрядна версія. У розділі «Про програму» офіційного сайту зазначено, що в 2011 році браузер створив шестинадцятилітній школяр Алекс Контос, який займається оновленням і підтримкою свого дітища і по сей день. Автор стверджує, що його додаток не збирає телеметрію і відправляє наружу тільки дані про версії браузера та ОС, щоб вчасно отримувати оновлення. Все інші конфіденційні, завіряє розробник, в повній безпеці. Зовнішня програма являє собою самий звичайний Firefox — нас тільки звичайний, що навіть скучно. Працює і завантажується з такою ж швидкістю, істотно відмінних від звичайної «Лисицей» я не зауважив.
Qualys Browser Check — тест пройдено успішно, жодна проблема не виявлена.
Cloudflare Browsing Experience Security Check показала, що у Waterfox є проблеми з перевіркою DDNSEC і застосуванням Encrypted SNI. Крім того, браузер не підтримує TLS 1.3.
Waterfox успішно провалив усі тести Privacy Analyzer, а за даними Panopticlick і Webkay — наругав мій IP-адресу, тип і розрядність процесора, а також параметри екранного дозволу, але всі інші дані благоразумно використані.
Примітно, що Waterfox розпізнається як Firefox 56.0, на даний момент як актуальна версія «Лисиці» на сьогоднішній день 79.0. То є клон відстає від оригіналу приблизно на вічність, і це може означати проблеми вже не з приватністю, а з безпекою.
Iron — це не «іронія», а «утюг» «железо», що як би нам намекає на брутальність і надійність даного браузера. «Железяка» зібрана на основі Chromium, використовує останні версії WebKit і V8, а також включає власний компонент блокування реклами. Зауважимо, що у розробника сайту є російська версія — правда, складається усвідомлення, що вона переведена на великий і потужний за допомогою всього того ж Google Translate. За заявами творців, Iron не відправляє в Google телеметрію, не відправляє автоматичні bag-звіти і не оновлюється в фоновому режимі, що дозволяє економити трафік. А ще він володіє «елегантним дизайном».
SRWare Iron схоже на Chrome чуть менше, чим повністю. Програма запускається приблизно за 3,5 секунди і працює з кількома відкритими вкладками досить-таки шустро: значущих гальм я за неї не зауважив. Мені навіть показалось, що цей браузер працює швидше, ніж Chromium у збірці Comodo.
Qualys Browser Check пожаловався мені на застарілу версію Google Chrome (83.0.4250) і повідомив, що вона небезпечна.
Тест Cloudflare продемонстрував показники, аналогічні браузерам Comodo, — включена підтримка TLS 1.3, але претензії до DNSSEC і Encrypted SNI.
Panopticlick ругнувся на стандартний набір проблем з приватністю (всі тести виявилися провалені) і між ділом заметил, що якщо в SRWare Iron і присутній який-то блокувальник реклами, то він не працює.
Privacy Analyzer і Webkay повідомили, що «Железяка» надає інформацію про версії браузера, версії та розрядності ОС, IP-адреси, всі відомості про залізо (включаючи модель відеокарти, екранне дозвіл і стан батареї), однак дані про локальну мережу залишилися для Webkay. тайной.
Творці браузера Brave стверджують, що їх продукт на базі Chromium, як ніякої іншої, не допускає трекінг і можливі утечки даних. Одна з фішек Brave — можливість відправляти криптовалютні платежі веб-сайтам і творцям контенту у вигляді Basic Attention Tokens — розробленої Brave Software криптовалютної платформи на базі Etherium.
У 2017 році кодова платформа була вперше запущена, Brave Software продала токенів на суму понад 35 мільйонів доларів США, а новим користувачам платформи роздали з метою залучення в загальній складності 300 тисяч токенів. Користувачі браузера Brave можуть заробляти токени для перегляду реклами або платити творцям контенту — або відправляючи мікротранзакції, або використовуючи вбудовану функцію Brave, коли заздалегідь встановлена сума вознаграждения автоматично розподіляється між власниками, зареєстрованими на сайтах системи, залежно від того, скільки часу юзер провів для перегляду контенту. Існують версії браузера для Windows, macOS, Linux, а також Android та iOS. Ми розглядаємо тільки перший з них, інтерфейс якого, як і слідувало очікувати, косплеит Chrome.
Qualys Browser Check показал, що поточна версія Chrome актуальна, оновлення не потрібні.
Тест Cloudflare не продемонстрував нічого нового — аналогічний результат був і в браузерах Comodo, і в Iron.
А ось Panopticlick дав неожиданний результат: як виявилося, Brave успішно блокує рекламу, автоматичний трекінг, але при цьому не відправляє DNT і володіє характерним «відбитком», за яким його можна вирахувати.
Privacy Analyzer і Webkay зробили ще більше: сайт не показав мою IP-адресу та локацію, хоча сервіси вродили WhatIsMyIP його без проблем визначили. Браузер передав дані про версії та розрядності ОС, залізо (включаючи процесор, графічний адаптер, екранне дозвіл і стан батареї). В якості програми User Agent використовується Chrome 84.0.4147.125.
Загалом – непоганий результат. З урахуванням того, що додаток працює досить швидко (хотя по ощущениям і повільніше Iron), до нього явно варто подивитися.
Цей браузер розроблений компанією, що базується у Бангалорі (Індія) з представництвом у Вашингтоні. Тут мені нестерпно хотілося пожартувати про індуський код, але Epic, як і його конкуренти, заснований на Chromium, тому код там гугловський. Розробник програми Алок Бхардвадж (Alok Bhardwaj) стверджує, що Epic успішно блокує трекінг, фінгерпринтінг, настирливу рекламу, криптомайнінг та магію вуду. Крім версії для Windows, на сайті можна завантажити реліз для macOS, там же є посилання на Google Play та App Store для завантаження мобільних версій.
Відразу після запуску програми користувач бачить суворе попередження про те, що деякі функції браузера, такі як вбудований VPN, проксі та блокувальник реклами, необхідно встановити окремо у вигляді плагінів, доступних на спеціальній сторінці Epic Extension Store. Чим у такому випадку Epic відрізняється від звичайного «Хрому», в якому також можна налаштувати проксі та VPN за допомогою плагінів, для мене залишилося загадкою. Що ж, побачимо, що вміє цей браузер із коробки з налаштуваннями за замовчуванням.
Qualys Browser Check – проблем та зауважень немає.
Cloudflare – результат, аналогічний Comodo та Iron.
Panopticlick – браузер успішно блокує рекламу та спроби трекінгу, але не посилає DNT і має характерний відбиток.
Privacy Analyzer – тест «підвис» на визначенні IP-адреси та геолокації, результату я так і не дочекався.
Webkay– сервіс успішно визначив мій IP і версію ОС, але не показав ніяких даних про залізо, крім розрядності процесора. Браузер визначається як Chrome 84.0.4147.105.
Дивлячись на назву продукту, я відчував, що можна буде написати про «епік фейл», але напрочуд браузер зарекомендував себе зовсім непогано. Блокування реклами, трекінгу, а також мінімум даних, що передаються назовні, і все це без додаткових плагінів — досить серйозна заявка на успіх.
Розробка цього браузера з відкритим кодом почалася дванадцять років тому. Інтерфейс Dooble заснований на Qt, а сама програма крос-платформна: є версії для FreeBSD, Linux, macOS, OS/2 і Windows, причому у вигляді портативної версії для всіх платформ. Дистрибутив можна завантажити з GitHub у вигляді ZIP-архіву, в якому знаходиться файл, що виконується, і всі потрібні бібліотеки.
За замовчуванням Dooble автоматично видаляє cookies, а дані, що зберігаються в програмі, шифруються (за винятком інформації про налаштування користувача). Браузер застосовує сесійну модель з використанням тимчасових ключів, парольну фразу можна змінити без втрати даних. Майстер-пароль потрібно створити в налаштуваннях при першому запуску Dooble, інакше при завершенні роботи всі збережені у браузері дані будуть стерті. Ці функції дозволяють умовно зарахувати Dooble до категорії безпечних браузерів.
На моїй віртуалці з Windows 10 Dooble відмовився запускатися, лаючись на відсутність якоїсь бібліотеки, зате на хостовій машині з Windows 7 він несподівано запрацював. Зовнішнє оформлення програми можна охарактеризувати фразою “привіт із дев’яностих” – у мене він навіть видавив ностальгічну сльозу. Dooble – крос-платформний браузер на Qt.
Qualys Browser Check – обізвав Dooble небезпечною версією Google Chrome – мабуть, через User Agent, що використовується браузером.
Cloudflare – результат, аналогічний Comodo, Iron, Epic та Brave.
Panopticlick – повний провал тесту за всіма пунктами.
Privacy Analyzer і Webkay — браузер передав IP-адресу, дані про ОС та загрозу, геолокацію, екранну роздільну здатність. Зовнішнім сервісам програма представляється як Chrome 84.0.4147.163.
Мабуть, Dooble – найшвидший із усіх браузерів, випробуваних мною в цьому експерименті. З урахуванням того, що він представлений у вигляді портативної версії, додаток може бути дуже корисним для систем, в яких ускладнена установка програм. Також, ймовірно, браузер припаде до смаку користувачам BSD та Linux. Працездатність програми у Windows 10 викликає певні сумніви.
Підсумки експерименту вийшли неоднозначні. Всупереч очікуванням, найкращі результати показала не продукція уславленої компанії Comodo, а скромні Brave і Epic. Однак непоганий і Comodo Ice Dragon – він відправляє назовні менше даних про пристрій, ніж його побратим. Comodo Dragon я би поставив на четверте місце. Власникам пристроїв зі слабким залізом і старими версіями ОС може прийтись до смаку Dooble, який відрізняється непоганою швидкодією. А ось Waterfox та Iron праскою пірнули на саме дно нашого скромного рейтингу — вони гірше за конкурентів справляються з рекламою та блокуванням трекінгу.
Очевидно, що жодна з перелічених у сьогоднішній статті програм не може забезпечити повну анонімність та безпеку в Інтернеті. Для цієї конфіденційності потрібно використовувати VPN, відключати в налаштуваннях браузера обробку скриптів, використовувати шифровані контейнери для зберігання даних форм і паролів. Крім того, існує асортимент плагінів, орієнтованих на підвищення рівня безпеки під час роботи в мережі. Але про них ми поговоримо іншим разом.