TL;DR:
Brave продолжает усиливать защитные меры против переадресующего трекинга — наш новый механизм называется «дебаунсинг». Начиная с версии 1.32 на десктопе, Brave распознаёт моменты, когда пользователю угрожает переход на известный следящий домен. В этой ситуации браузер полностью проигнорирует зловредный сайт и направит пользователя напрямую на тот сайт, который нужно посетить, защищая его тем самым от слежки и подглядывания.
Переадресующий трекинг (или почему «нет» должно значить «нет»)
По сути, переадресующий трекинг — это попытка обойти ограничения конфиденциальных (т.е. правильных) браузеров на сторонние хранилища. Фокус заключается в том, чтобы вставить дополнительные переходы между сайтом, на котором вы находитесь сейчас, и сайтом, куда вы хотите перейти. Такие сайты-посредники с течением времени узнают, какие страницы вы посещаете, и таким образом следят за пользователями так же, как и сайты, использующие сторонние куки.
Посмотрим, как переадресующий трекинг работает на простом примере. Допустим, пользователь сейчас находится на сайте site-one.example, и хочет перейти по ссылке на cats.example. Спустя некоторое время, этот же пользователь находится на другом сайте, site-two.example, и переходит по ссылке на cars.example. Это выглядит так:
Переадресующие трекеры ломают эту идеальную ситуацию, добавляя новый непрошеный сайт на каждый переход. При нажатии на ссылку cats.example, происходит переход на сторонний зловредный сайт по адресу, который выглядит, например, как https://tracker.example/record?dest=cats.example. После этого следящий сайт сохраняет информацию о том, что этот пользователь заинтересован в cats.example, и поскорее отправляет его туда. То же самое может произойти, когда пользователь захочет посетить cars.example: вместо этого пользователь будет отправлен на tracker.example, который (жадно потирая руки) поймёт, что один и тот же человек заинтересован не только в кошках, но и в машинах, и только после этого отправит пользователя дальше на сайт назначения. Выглядит это так:
Ударим дебаунсингом по bounce-трекерам
Как это работает? Мы защищаем пользователей от такой формы слежки: когда браузер видит (как в примере выше), что его направили на tracker.example, но при этом параметр «dest» содержит URL сайта назначения, он вырезает навигацию на tracker.example и сразу переходит на требуемый конечный адрес. Дебаунсинг не только защищает пользователей от межсайтовой слежки, но и от других форм трекинга, с которыми можно столкнуться в других местах сети, например, в ссылках из емейлов партнёрского маркетинга. Мы используем наш собственный список для идентификации адресов переадресущих трекеров. Мы ведём его сами, и пополняем его как благодаря краудсорсингу, так и из открытых источников: например, из расширений URL Tracking Stripper, Link Clearer и Clear URLs, с учётом наших собственных правил. Мы будем продолжать поддерживать этот список, и будем рады сотрудничеству со схожими проектами.
Плюс один к защите от переадресующего трекинга
Дебаунсинг — это один из многих способов, с помощью которых Brave защищает своих пользователей от переадресующего трекинга и является лишь одним из механизмов эшелонированной обороны конфиденциальности, реализованной в нашем браузере. К примеру, дебаунсинг работает вместе с другими средствами защиты Brave: зачисткой параметров запроса и предупреждением пользователей о потенциальном переходе на сайт-трекер. Мы рандомизируем фингерпринт браузера и предотвращаем слежку через сторонние куки при помощи эфемерных хранилищ.
При этом мы планируем внедрение дополнительных мер защиты от переадресующего трекинга, о которых вскоре расскажем в блоге. Brave также работает с W3C в сфере стандартизации мер защиты от переадресующего трекинга и более широкой категории «трекинга, основанного на навигации».
Комментарии (5)
Tangeman
02.11.2021 03:03+1К сожалению, есть довольно продвинутые трекеры (и уже давно) с которыми дебаунсинг не работает — ссылки либо зашифрованы (т.е. их никак не идентифицировать и не очистить), либо просто являются идентификатором на трекере — т.е. до перехода на трекер точку назначения не узнать.
Такие ссылки конечно можно блокировать по списку трекеров, но тогда это будут просто мёртвые ссылки.
BraveSoftware Автор
02.11.2021 09:55+1да, так и есть. На этот случай мы делаем более сложную конструкцию, думаю скоро будет пост.
interprise
02.11.2021 04:48+2Меня в вашем браузере смущает только одна вещь, для самого честного браузера он держит слишком много подключений к вашим серверам.
go-updater.brave.com componentupdater.brave.com rewards.brave.com grant.rewards.brave.com: api.rewards.brave.com componentupdater.brave.com brave-core-ext.s3.brave.com ads-static.brave.com ads-serve.brave.com
Это, что с ходу удалось найти. Я подозреваю, что часть можно отключить, но хотелось бы большую кнопку "выключить всю телеметрию", также интересно зачем столько серверов для обновления и не передается ли какие либо индикаторы при запросе информации он новой версии.
BraveSoftware Автор
02.11.2021 10:10+2У нас была довольно популярная статья на эту тему https://habr.com/ru/company/brave/blog/551588/
Всё, что вы перечислили - это не телеметрия. То, что касается Ads/Rewards - это соответствующие бэкенды для рекламного движка и вознаграждений; чтобы браузер начал ходить на эти ручки, Ads/Rewards нужно включить явно. Понятно, что рекламный движок без бэкенда функционировать не может, равно как и получение BAT без соединения с блокчейном.
Проверка обновлений и компонентный апдейтер - это ключевые вещи для безопасности, браузер который не обновляется - это дыра. К компонентам относятся, например, списки блокировки рекламы, или списки отозванных сертификатов их тоже надо обновлять. При проверке обновлений никаких идентификаторов мы не собираем, это легко проверить и в исходниках, и в снифере.
Телеметрические эндпоинты это laptop-updates.brave.com и p3a.brave.com, их можно легко отключить в настройках. Там, конечно, тоже нет никаких идентификаторов, собираются метрики вида https://github.com/brave/brave-browser/wiki/P3A
mrBarabas
Когда-то мучайся с подобной переадресацией некоторых сайтов, потому что в сети установлен ДНС с блокировкой рекламы и он блокировал запросы на редирект-трекеры и, если не изменяет память Mashable «страдал» таким и при этом я не мог зайти без бубна на сайт, потом плюнул на это и у Mashable минус один постоянный читатель, пусть им на это и наплевать, но с некоторых пор они отключили эту ерунду, но из-за осадочка, который остался я больше туда не хожу. А вам (команде Брейв) спасибо за то, что делаете.