OTR prompting when visiting a potential sensitive website
Запрос доступа в режиме «Не Для Протокола» при посещении сайта с чувствительными данными

Это двадцать шестой пост из нашей серии о новых мерах защиты приватности и конфиденциальности в браузере Brave. Рассказываем о новой технологии запроса режима браузинга «Не Для Протокола» ("Off The Record"), который призван усилить меры безопасности пользователей, чьи устройства могут быть доступны тем, кто им угрожает.

Начиная с версии 1.53, Brave внедряет новую опцию «запросить режим Не Для Протокола (НДП)». Эта опция призвана помочь людям, которым нужно скрыть свой браузинг от тех, у кого есть доступ к их компьютеру или телефону: например, жертвам домашнего насилия, которым нужно найти сервисы поддержки так, чтобы их партнёр об этом не узнал, или же тем, кому нужно решить вопросы личного здоровья так, чтобы об этом не узнали их домашние.‎ 

Запрос НДП позволяет сайтам по желанию маркировать собственный контент как «чувствительный»‎. После этого браузер сможет спросить пользователей, не хотят ли они посетить сайт в режиме НДП. В этом режиме сайт будет посещён из чистого и временного хранилища, не будет сохранён в истории посещений, равно как не будут сохранены любые куки, разрешения и вообще любые данные этого сайта. При этом другие посещённые сайты будут храниться и обрабатываться в нормальном режиме, тем самым не давая понять любому человеку, имеющему доступ к устройству, что произошёл «необычный»‎ браузинг. 

Запрос НДП является очередной мерой Brave по защите конфиденциальности индивидуальных пользователей, которая идёт гораздо дальше, чем те «стандартные»‎ меры защиты, которые предлагают большинство других браузеров. Brave рассчитывает на плодотворное сотрудничество с другими поставщиками браузеров с целью стандартизации НДП, что позволит пользователям из групп риска быть уверенными в защите своей конфиденциальности, каким бы браузером они ни пользовались.

Мы разработали эту технологию вместе с несколькими группами по защите гражданских прав и прав жертв насилия, и хотим процитировать Мэллори Нодель, технического директора Центра Демократии и Технологий (Mallory Knodel, the CTO at the Center for Democracy and Technology): «Режим НДП от браузера Brave, облегчающий пользователям возможность указать, какие сайты сохранятся в их истории посещений, а какие нет, является важным шагом вперёд в сфере конфиденциальности, защищающим пользователей в ситуациях, когда угроза исходит от кого-либо, кого они знают, и в целом нужным для всех, кому важен контроль над тем, что их браузер помнит, а что нет. Эта технология наделяет новыми возможностями всех пользователей интернета и предоставляет нам больше контроля над тем, как мы получаем информацию»‎. 

Некоторым пользователям необходимо скрыть свой браузинг от людей, имеющих доступ к их устройствам

Как правило, когда мы говорим о конфиденциальности в сети, мы подразумеваем защиту личных данных от сайтов: например, как не дать гуглу запомнить сайты, которые вы посещаете. Однако же, у пользователей сети есть и другие нужды конфиденциальности, на которые на данный момент большинство браузеров не обращает достаточно внимания. 

Рассмотрим гипотетический пример Марии, пользовательницы сети, которая живёт с классическим абьюзером Владимиром, который не гнушается применением физического насилия. Марии нужно воспользоваться интернетом, чтобы узнать о наличии служб юридической, медицинской, психологической и социальной поддержки рядом с её расположением для того, чтобы безопасно выйти из этих отношений. Владимир, однако же, начал подозревать, что Мария собирается уйти от него, и стал мониторить телефон, компьютер и другие устройства Марии, чтобы найти признаки того, что она обратилась в службы поддержки.

К сожалению, в настоящий момент браузеры не только не помогают Марии, но и облегчают цифровую слежку абьюзерам типа Владимира. Браузеры сохраняют огромное количество информации о поведении в сети и сетевых интересах, как явно (с помощью, к примеру, истории браузинга, хранилищ DOM и куки), так и неявно (к примеру, с помощью состояния кэша, сохранённых учётных данных и автозаполнения URL). Что ещё хуже, те инструменты, которые браузеры сейчас предлагают пользователям типа Марии для защиты своих личных данных, неполны и/или сложны в использовании.

Предоставляемые сейчас браузерами инструменты недостаточны для защиты от знакомых абьюзеров

В настоящий момент браузеры предоставляют кое-какие инструменты для сокрытия действий пользователя на чувствительных сайтах, но эти инструменты недостаточны для защиты пользователей, чья безопасность зависит от сокрытия посещений конкретных сайтов от людей, у которых есть доступ к их устройствам. Ныне существующие инструменты или скрывают слишком много (вызывая таким образом подозрения у абьюзера), или слишком мало (позволяя абьюзеру восстановить историю браузинга), или же просто слишком сложны для правильного применения.

Приватные (инкогнито) окна позволяют пользователям быть в сети и не оставлять перманентной истории своих действий в браузере. К сожалению, приватные окна плохо справляются с задачей защиты пользователей от слежки на уровне устройства: очень легко как забыть открыть приватное окно перед посещением сайта, особенно в состоянии стресса, что приведёт к появлению перманентной записи о посещении этого сайта, так и забыть закрыть приватное окно, продолжив браузинг в режиме инкогнито на других сайтах. Это может показать абьюзеру, что режим инкогнито использовался в принципе, что само по себе вызовет подозрения и может поставить жертву в ещё более уязвимое положение.

Схожим образом некоторые браузеры предоставляют продвинутые настройки, которые позволяют пользователям очищать браузерные хранилища для конкретных сайтов. Проблема здесь заключается в том, что это нужно сделать после того, как сайт был посещён, и не защищает пользователя во время посещения сайта, что может поставить его под угрозу в случае, если браузер необходимо закрыть как можно скорее. К тому же, подобные инструменты, как правило, сложно найти и ещё сложнее грамотно использовать технически недостаточно подкованным пользователям. Помимо этого, они, как правило, позволяют пользователям только очищать сохранённые данные для сайта (например, куки и разрешения), но не позволяют удалить другие следы посещения сайта (например, историю браузинга и кэши).

Наконец, некоторые чувствительные сайты имеют кнопку быстрого выхода на самих сайтах, которые позволяют пользователям быстро уйти с сайта, что затрудняет абьюзеру возможность обнаружить факт посещения сайта. Это полезная функция, но также ограниченная в своих возможностях: кнопки быстрого выхода не могут удалить многие типы браузерных данных (например, разрешения и кэши) и ограничены в своих возможностях редактирования истории браузинга. Помимо этого, они полностью зависят от своей правильной имплементации на уровне сайте; собственно браузеры не могут обеспечить полный контроль над защитой пользователя.

Запрос НДП от Brave является новой и мощной защитой для подобных случаев

Запрос НДП от Brave является новым всеобъемлющим подходом, позволяющим чувствительным сайтам отправить запрос об исключении из истории браузинга и локальных хранилищ пользователя. Любой сайт может запросить режим НДП, и пользователю будет предложен выбор, хочет ли он перейти в этот режим. При его согласии, Браузер Brave создаст временное хранилище для сайта и не сохранит посещение сайта в истории браузинга пользователя. Сессия НДП привязана к конкретному сайту; любой другой сайт, посещённый в этой же (или другой) вкладке стандартно отображается в истории браузинга.

Таким образом, режим НДП от Brave защищает пользователей следующим образом:

  1. Пользователь защищён на протяжении всего времени посещения сайта с чувствительными данными. Ему не потребуется отдельно чистить свою историю браузинга.

  2. Посещения других сайтов фиксируются как обычно, что предотвращает появление больших пробелов в истории браузинга, которые могут вызвать подозрения у абьюзера.

  3. Любые данные и поведение чувствительного сайта не будут сохранены (включая куки, кэши, истории браузинга, разрешения и т.д.).

  4. НДП не позволяет сайтам бездумно пользоваться этой функцией: сайт не может сам перейти в режим НДП, если пользователь специально не разрешит сайту сделать это.

Как сайты могут запросить режим НДП 

Мы разработали режим запроса НДП специально для помощи людям, находящимся под угрозой различных форм насилия со стороны знакомых лиц, а также для тех, кому необходимо скрыть историю посещений сайтов с чувствительной информацией. Тем не менее, режим НДП создан принципиально как общебраузерная технология, и предполагается, что любой сайт должен иметь возможность запросить этот режим.

Заголовок Request-OTR

На настоящий момент есть два способа для сайта запросить режим НДП в Brave. Основной и предполагаемый способ заключается в использовании сайтом заголовка Request-OTR: 1 в ответ на изначальный запрос навигации по сайту. Если браузер видит этот заголовок, он остановит навигацию и спросит пользователя, хочет ли он посетить сайт в режиме НДП. Если пользователь соглашается, то браузер делает две вещи:

  • Не записывает посещение сайта в историю браузинга

  • Создаёт временное хранилище для кэшей, куки, разрешений и т.д.

Браузер продолжает использовать временное хранилище для всех последующих страниц, посещённых в этой же вкладке в рамках этого сайта. Когда пользователь закрывает вкладку или же покидает сайт, временное хранилище уничтожается, и браузерное поведение снова записывается в нормальном режиме.

Список сайтов с режимом НДП

Второй способ для сайта запросить режим НДП заключается во включении сайта в предварительно составленный Brave список партнёрских сайтов, для которых желателен режим НДП. Эти сайты направлены на работу с жертвами домашнего насилия и сообщили Brave, что они заинтересованы в том, чтобы считаться «чувствительными»‎. Этот список является промежуточной мерой до того момента, когда все сайты успешно внедрят описанный выше подход с применением заголовка Request-OTR.

Ограничения подхода Brave к запросу НДП

Запрос режима НДП от Brave не позволяет сайтам с чувствительными данными быть записанными в браузерной истории пользователя, как явно (история браузинга, куки), так и неявно (кэши, разрешения и т.д.). Наш режим НДП входит в программу баг-баунти от Brave, и мы будем признательны за любые сообщения о данных из сессий НДП, которые были некорректно или не полностью удалены.

Тем не менее, важно отметить, что режим НДП от Brave не защищает пользователей от действий другого ПО на их устройствах, которое может сохранять информацию о сайтах, которые они посещают. Так, например, браузер Brave не может скрыть историю браузинга от следующего ПО:

  • Расширения браузера

  • Программы сетевого шпионажа

  • Вредоносное и шпионское ПО на устройстве

  • Информация, сохранённая сайтами до или после того, как вы воспользовались режимом НДП (например, если вы включили сохранение истории Google Web History в поисковике Google или в Gmail)

  • Ведение логов на уровне ОС

  • Краш-логи

В настоящий момент мы рассматриваем варианты того, что можно сделать в отношении подобных сложностей, но пользователи должны помнить, что, как и в случае режимов инкогнито, режим НДП от Brave предотвращает сохранение лишь ключевых данных и браузерного поведения.

Следующие шаги для Запроса НДП

Enabling OTR via brave://flags
Включение режима запроса НДП через brave://flags

Мы официально запускаем режим запроса НДП в версии 1.53 для десктопов и 1.54 для Андроида, но, если вы хотите попробовать эту технологию раньше, вы можете сделать это, перейдя на brave://flags и включив #brave-request-otr-tab. Не забывайте, что эта технология пока ещё находится в разработке. Включайте её, убедившись, что вы понимаете риски её тестирования. Мы будем признательны за любой фидбэк по этой технологии.

Также мы продолжим развивать и улучшать саму технологию запроса НДП. Мы работаем с экспертами и исследователями университетов Джорджа Вашингтона и Падерборна для того, чтобы оценить, как запрос НДП воспринимается пользователями, и как мы можем лучше донести до них информацию о том, какие меры безопасности эта технология даёт (а какие не даёт). Мы опубликуем информацию о результатах этих совместных исследований в нашем блоге, а также включим их в будущие версии реализации запроса НДП в Brave. 

Мы также заинтересованы в сотрудничестве с другими браузерами, организациями и веб-компаниями в сфере потенциальной стандартизации запроса НДП с тем, чтобы пользователи других браузеров и сайтов могли воспользоваться этим инструментом защиты. Нынешняя версия этой технологии является результатом сотрудничества широкого спектра правозащитников, IT-сотрудников и неправительственных организаций, и мы надеемся на дальнейшую плодотворную работу со всеми спектрами общества с целью укрепления безопасности и конфиденциальности пользователей Сети.

Комментарии (11)


  1. AntoineLarine
    13.06.2023 10:52

    Сомнительное название режима. В РФ будет подразумеваться, что всё остальное сразу попадёт "в протокол товарищу майору"


    1. BraveSoftware Автор
      13.06.2023 10:52

      Статья переводная, в английском языке коннотация точно такая же :)


  1. vilox
    13.06.2023 10:52
    +1

    Непонятно, какие именно отличия от private (ff) / incognito (chrome) window.

    1. автоматическое включение по заголовку с сайта / встроенному списку

    2. ?


    1. BraveSoftware Автор
      13.06.2023 10:52

      Режим включается не в отдельном окне, как в случае с инкогнито, а в любой обычной вкладке *для данного сайта*. Если пользователь соглашается открывать какой-то сайт в НДП, то "инкогнитизация" сайта будет автоматическая и прозрачная, даже если открыть несколько вкладок с этим сайтом.


      1. tzlom
        13.06.2023 10:52

        сам факт согласия как-то сохраняется?


        1. BraveSoftware Автор
          13.06.2023 10:52

          если поставить галку "октрывать в НДП всегда", то сохраняется. Если не ставить - не сохраняется, конечно.


  1. zueve
    13.06.2023 10:52
    +1

    А браузер же должен где-то хранить что пользователь разрешил НДП? Или при повторном входе на сайт браузер опять спровит включать или нет НДП?


    1. BraveSoftware Автор
      13.06.2023 10:52

      При переходе на сайт браузер покажет КДПВ, там есть галка. Если её включить, то настройка сохранится в настройках, если нет - то при повторном заходе браузер переспросит.


      1. reatfly
        13.06.2023 10:52

        Но ведь в таком случае абьюзер тоже будет иметь возможность узнать, что жертва заходила на этот сайт?


        1. Tamerlanchiques
          13.06.2023 10:52

          Как-то сомнительно пока звучит. В том же фаерфоксе открываешь приватное окно и получаешь «не для протокола». Причём, это будет надёжнее, так как Brave будет только «просить» сайт, а сайт, в свою очередь, с большой вероятностью, не будет адаптирован к такой функции вовсе и проигнорирует запрос. Пока вижу эту фичу больше как промо-материал для кампании «смотрите, какие мы топим за приватность».


          1. BraveSoftware Автор
            13.06.2023 10:52

            Не браузер просит сайт, а сайт просит браузер. Или браузер сам решает на основании белого списка. Недостатки использования приватных окон в статье описаны.