[Перевод] Brave: секционирование сетевого состояния браузера для улучшения приватности
TL; DR
Наш браузер секционирует сетевое состояние, и тем самым защищает пользователей от ещё большего количества способов трекинга в сети. Из всех популярных браузеров наш — самый агрессивный в секционировании хранилищ объектов DOM, что хорошо защищает от наиболее распространённых форм онлайн-слежки. Теперь мы предоставляем меры защиты от менее распространённых и более сложных атак. Мы продолжаем свою систематическую работу по предоставлению нашим пользователям наиболее устойчивых и всеобъемлющих мер защиты конфиденциальности среди всех популярных браузеров.
Отдельно мы хотели бы отметить вклад команды Chromium в разработку технологий секционирования сетевого состояния. Большинство наших разработок по защите конфиденциальности превосходят доступные в Chromium. Однако же именно в сфере секционирования сетевого состояния инженеры Chromium проделали выдающуюся работу и создали технологии, которые присутствуют (хоть и выключены по умолчанию на момент публикации) в большинстве браузеров на основе Chromium. Наши инженеры провели значительную работу по тестированию, внедрению и улучшению этих технологий секционирования, но мы хотели бы с признательностью отметить ту работу, которую уже проделала команда Chromium.
Секционирование для конфиденциальности, или каждому сайту по песочнице
Секционирование защищает вас от онлайн-трекинга, изолируя сайты друг от друга. Таким образом то, что вы делаете на одном сайте, невозможно слинковать с тем, что вы делаете где-либо ещё в интернете, и трекеры не могут следить за вами по всему интернету и не могут создать единый профиль, описывающий вас и ваши интересы.
Секционирование привлекательно тем, что оно, как правило, хорошо защищает конфиденциальность пользователей, но при этом не ломает нормальное поведение сайтов. Успешное секционирование позволяет вашему браузеру загружать код и ресурсы из трекеров, но при этом трекеры не могут идентифицировать вас и следить за вашими перемещениями на другие сайты.
Например, секцинирование позволит вам загрузить виджет фейсбука на cnn.com и тот же самый виджет на foxnews.com, но фейсбук при этом не узнает, что один и тот же браузер посещал оба источника новостей — информация о том, что происходит на конкретном сайте, остаётся на этом сайте и не утекает никуда дальше. При успешном секционировании сайт и сторонние компоненты на этом сайте будут знать, что вы там делали, но не будут иметь ни малейшего представления о том, что вы делали где-либо ещё в интернете.
Секционирование хорошо ещё и тем, что оно работает в целом на всю платформу, и в этом его отличие от других популярных методов защиты конфиденциальности. К примеру, защита при помощи списков фильтрации блокировщиков рекламы пытается отделить хороший код от плохого и заблокировать исполнение последнего. Это вполне рабочий подход, но у него есть свои минусы: иногда понять, какой код исполнять не стоит, может быть крайне сложно, а его блокирование может, помимо прочих сложностей, ломать сайты. Секционирование и другие общеплатформенные решения (а также наша технология рандомизации фингерпринтинга) предоставляют одну и ту же защиту для всего в интернете, «хорошего» или «плохого», и таким образом избегают многих сложностей.
Это не означает, что не нужно стараться отличить полезный код от зловредного, а трекеры от нетрекеров. Исследования показывают, что блокировка плохого контента существенно улучшает конфиденциальность, производительность и безопасность, и с этим согласны даже АНБ и ЦРУ. Списочная фильтрация и секционирование хранилищ отлично дополняют друг друга, и их совместное использование предоставляет бóльшую степень защиты, чем использование лишь чего-либо одного.
Браузер Brave уже агрессивно секционирует куки
Среди всех популярных браузеров мы используем наиболее агрессивные и надёжные механизмы защиты конфиденциальности для тех браузерных возможностей, которые наиболее часто используются для слежки в сети. Стараясь идентифицировать вас, для этой постыдной цели большинство трекеров используют сторонние хранилища объектов DOM, включая куки, localStorage и другие API.
Наш браузер защищает пользователей от большинства форм онлайн-трекинга с помощью уникальной системы секционирования хранилищ под названием «эфемерные сторонние хранилища». Как и другие браузеры, ориентированные на конфиденциальность пользователей, Brave секционирует сторонние хранилища для того, чтобы трекеры не следили за вами по всему интернету. Однако же, в отличие от других браузеров, Brave автоматически удаляет все данные от трекеров в вашем браузере, как только вы больше не используете сайт, несмотря на то, что эти данные уже секционированы. Это предоставляет нашим пользователям дополнительную защиту от различных форм трекинга, включая, к примеру, некоторые целенаправленные атаки (например, трекеры, использующие фингерпринтинг для попытки синхронизировать сохранённые разделённые куки) и некоторые виды непреднамеренной передачи данных между сайтами (например, в случае непреднамеренной связки аккаунтов, если у пользователя их несколько на одном сайте — к примеру, несколько почт на Gmail).
Секционирование в разных браузерах
¹ Секционирование без очистки полезно, но менее надёжно, чем эфемерный подход. Неочищаемое секционирование может привести к утечкам данных и небезопасно с точки зрения потенциальных разработок, которые позволят синхронизировать куки.
В этой таблице вы видите текущее положение дел с секционированием хранилищ DOM в популярных браузерах. Следующий раздел посвящен новым технологиям секционирования в нашем браузере и тому, как они защищают пользователей от более редких и изощрённых форм слежки.
Теперь Brave секционирует сетевое состояние
Мы расширяем арсенал наших и без того агрессивных механизмов защиты от слежки с помощью секционирования. В основном трекеры используют стандартные API хранилищ для охоты на пользователей: эти API просты в использовании, а наиболее популярные браузеры (Chrome и Edge) не предоставляют сколько-нибудь значительных средств защиты от такого типа слежки.
Источник: privacytests.org
Однако же хитрые трекеры всё чаще применяют более изощрённые методики обхода защиты посредством секционированных хранилищ объектов DOM, но нас (как и других разработчиков конфиденциальных браузеров) просто так не возьмёшь.
Начиная с ближайших релизов в 2022 году, мы будем секционировать и другие механизмы хранения в браузере под общим названием «сетевое состояние». Наши предыдущие механизмы защиты работали с API, которые предназначены для того, чтоб вебсайты устанавливали состояния пользователей (включая идентификаторы) на уровне приложения; наши новые средства секционирования работают с гораздо большим количеством тех особенностей браузера, которыми злоумышленники могут воспользоваться вопреки их предназначению для слежки за пользователями.
Наш подход к секционированию сетевых состояний заключается в комбинации 1) включения функциональности, уже доступной в Chromium (но отключенной для большинства пользователей Chrome и Edge) и 2) наших собственных разработок в области секционирования, которыми мы собираемся поделиться с другими браузерами на основе Chromium.
Если вас заинтересовала тема безопасности на основе секционирования, мы рекомендуем посетить ресурс privacytests.org, где вы найдёте подробное сравнение особенностей защиты конфиденциальности, доступной в популярных браузерах — как основанной на секционировании, так и нет.
Секционирование: необходимая, но недостаточная мера
Мы уже давно и успешно предоставляем различные системы защиты от наиболее распространённых форм онлайн-трекинга, и внедрение описанной выше технологии является частью этой постоянной работы. Теперь мы предоставляем ещё более надёжную защиту конфиденциальности пользователей, лучшую защиту от трекинга по хранилищам объектов DOM, и защиту от слежки, базирующейся на сетевом состоянии, которая соответствует или превосходит аналогичные методы защиты других распространённых браузеров. Мы также продолжим работу по предоставлению подобной защиты для тех немногочисленных функций сетевого состояния, которые пока не секционируются в Brave: например, секционирование инструкций HSTS и некоторых типов блобов.
Но даже и с технологией секционирования работа по созданию конфиденциального интернета далеко не закончена. К примеру, недавно мы задокументировали несколько ещё несекционированных возможностей браузера, которыми злоумышленники могут воспользоваться для слежки за пользователями по всей сети. Мы описали наши результаты в блоге и статье, и пытаемся найти решение этой проблемы вместе с разработчиками других браузеров.
Наконец, мы хотим подчеркнуть, что секционирование — это полезная, но сама по себе недостаточная технология защиты конфиденциальности. Истинная защита конфиденциальности должна быть многоуровневой, агрессивной и ориентированной на пользователя. Секционирование рассматривает поставщиков контента как «нейтральных» и не пытается выявить среди них злоумышленников. Это привлекательная особенность этой модели, но здесь же кроется её слабость: нейтралитет по отношению к действующим лицам в сети — это ложная цель. Злоумышленники должны быть заблокированы, обезоружены и обойдены, даже если их намерения невозможно описать (и запретить) как общее правило.
Мы гордимся проделанной работой по секционированию сетевых состояний: она защитит наших пользователей от большого количества угроз. Но ещё больше нас радует то, что мы можем совместить эту технологию с уже существующими эффективными мерами защиты нашего браузера, что предоставляет нашим пользователям наилучший набор технологий безопасности для конфиденциального веб-сёрфинга, доступный сейчас.
